मैं एक ऐप बना रहा हूं जिसे active merchant जैसे कुछ के साथ क्रेडिट कार्ड भुगतान स्वीकार करने की आवश्यकता है। सुरक्षा के मामले में, क्या यह heroku पर रहने के लिए संभव है और भुगतान गेटवे के रूप में authorize.net (या समान) का उपयोग करें?क्या सक्रिय सर्वर का उपयोग कर एक हेरोकू सर्वर से क्रेडिट कार्ड भुगतान करना संभव है?
क्या होगा यदि उसे क्रेडिट कार्ड नंबरों को स्टोर करने की आवश्यकता है?
संपादित
authorize.net करने के लिए उपयोगकर्ताओं अग्रेषण नहीं होगा।
सरल उत्तर हाँ है, मुझे विश्वास है, लेकिन इससे परे यह निर्भर करता है।
आप तृतीय पक्ष सेवा (http://docs.heroku.com/config-vars) से संबंधित विभिन्न कुंजी और अन्य मानों के लिए पर्यावरण चर सेट कर सकते हैं, या बस उन्हें जांचें और उन्हें तैनात करें।
यदि आप authorize.net के लिए होस्टेड भुगतान सेवा का उपयोग कर रहे हैं, और अपनी साइट पर अग्रेषित करते हैं, तो आपको स्वयं को एसएसएल की आवश्यकता नहीं है। यदि आप उस फॉर्म को होस्ट करेंगे जहां क्रेडिट कार्ड नंबर और व्यक्तिगत जानकारी सबमिट की जाती है, तो इसे सर्वर पर अपने एपीआई के माध्यम से authorize.net पर अग्रेषित करने के लिए, आपको उसकेोकू (http://docs.heroku.com/ssl) के लिए एसएसएल सेट अप करने की आवश्यकता है ताकि आपका फॉर्म सुरक्षित हो।
अब क्रेडिट कार्ड के माध्यम से भुगतान स्वीकार करना एकमात्र बात है और इसे केवल थर्ड पास करें, यह क्रेडिट कार्ड नंबर और अन्य निजी जानकारी को बचाने के लिए एक और है। आपको विभिन्न सुरक्षा मानक दस्तावेज़ों (यानी पीसीआई डीएसएस यहां लागू होता है) को इंगित किए बिना, मैं बस इतना कहूंगा कि जब तक आपको पूरी तरह से नहीं करना है, सीसी संख्याओं और संबंधित व्यक्तिगत जानकारी को स्टोर न करें, बस गेटवे पर जाएं और सुनिश्चित करें कि आप नहीं हैं उन क्षेत्रों को लॉगिंग (http://guides.rubyonrails.org/security.html#logging)। यदि आपको क्रेडिट कार्ड डेटा स्टोर करने की आवश्यकता है, तो मुझे लगता है कि आपको अनुपालन तक पहुंचने के लिए डेटाबेस और सर्वर पर अधिक नियंत्रण होना चाहिए, और मुझे एडब्ल्यूएस या उसकेोकू जैसे सामान्य क्लाउड होस्ट को नहीं पता है जिसका आप उपयोग कर सकते हैं और ऐसा कर सकते हैं (शायद कुछ अन्य SO उपयोगकर्ता मुझे सही करेंगे)। Authorize.net जैसे भुगतान गेटवे का उपयोग करना, हालांकि, आपको वहां ले जा सकता है।
मैं यह भी बताउंगा कि अलग-अलग राज्यों में अब संवेदनशील डेटा (जैसे एमए, जहां मैं रहता हूं) संग्रहीत करने के बारे में कानून हैं, फिर भी ऐसा करने का एक और कारण यह है कि जब तक कि यह आपके व्यावसायिक मॉडल के लिए आवश्यक न हो।
PCI अनुपालन के कुछ दिनांकित है, लेकिन अच्छा सामान्य चर्चा के लिए, यहाँ देखो: http://broadcast.oreilly.com/2009/02/pci-in-the-cloud.html
"यदि आप क्रेडिट कार्ड डेटा अग्रेषित करने के लिए की जरूरत है, तो" आप "की दुकान क्रेडिट कार्ड डेटा" मतलब है? – James
हाँ, मेरा मतलब स्टोर - संपादित प्रतिक्रिया थी। धन्यवाद। –
मैं उत्सुक हूं - अधिकांश भुगतान गेटवे को सर्वर के लिए आईपी पते की आवश्यकता होती है। यह Heroku होस्ट किए गए ऐप्स के लिए कैसे काम करता है, क्योंकि उनके पास एक ही रिकॉर्ड है (proxy.heroku.com) –