Nous avons un produit physique expédié tous les 2, 3 ou 4 mois en fonction de la préférence du client. Entre expéditions, l'utilisateur peut choisir de modifier leurs choix.
Avant de le suggérer - je suis à peu près sûr qu'un système de facturation récurrent (tel que PayPal) n'est pas adapté à nos besoins. Pour deux raisons, un système comme PayPal ne semble pas être idéal.
Je pense que nous devrons donc devoir nous reconstruire en utilisant le même mécanisme que lorsque la commande initiale est créée - avec le code CC des numéros de CC et CVV2. Mais évidemment, nous ne pouvons pas stocker le code CVV2 pour la conformité PCI !!
J'ai récemment rencontré Services de paiement 'Baintre' - qui vous permettent de créer une transaction initiale et de récupérer un «jeton» qui représente ce numéro de carte de crédit. Ce jeton est sans danger pour stocker car il est inutile d'un voleur. Il aide à minimiser le travail nécessaire à la conformité PCI.
Je suis complètement bien en utilisant la solution de Braintree. Il semble être parfait pour ce dont nous avons besoin - mais cela me laisse confondre sur l'offre de PayPal. Comment puis-je réaliser ce que j'essaie de faire avec n'importe quel système autre que Braintree sans avoir à stocker le code CVV2?
4 Réponses :
Cela fait longtemps que je devais faire quelque chose comme ça ... et Je n'ai utilisé que l'API VeriSign Payflow. Vous voudrez peut-être vérifier.
Au meilleur de ma mémoire, les passerelles de paiement recommandent vivement le stockage des détails de la carte.
Le mécanisme recommandé consiste à utiliser le numéro de référence de la transaction d'origine, puis à lier la nouvelle transaction à celle-ci; Il doit être très similaire à la façon dont l'arbre de cerveau le gère.
Je stockais donc un numéro CC masqué pour une référence future (afin que je puisse dire à l'utilisateur paier avec carte ************* 1234) - avec le numéro de référence pour la transaction initiale. PayPal Payflow ne semble pas faire ce choix un élément évident. Savez-vous s'il existe un «nom» spécifique pour ce lien?
Je ne me souviens pas exactement; Cela fait plusieurs années. Si vous avez l'API, essayez des transactions de référence (je tink)
La plupart des passerelles ne nécessitent pas que le CVV fonctionne. Ce code signifie essentiellement «carte de crédit présente» et ne doit pas être utilisé pour des transactions récurrentes.
Braintree semble être une très bonne option si vous ne voulez pas que le problème de se conformer à PCI (que je devais faire, pas difficile, mais nécessite un peu de processus à créer)
Je suis juste fatigué d'utiliser des caractéristiques de Bainrees "uniques" et de s'appuyer sur eux s'ils ne réduisent pas vraiment notre complexité de la conformité PCI. La réponse de @everyone a indiqué que je peux utiliser un numéro de référence à partir d'une transaction originale. Si cela est vrai, je ne vois pas que Braintree offre vraiment quelque chose de spécial dans ce cas avec leur "voûte"
Nous (Braintree) peut réduire considérablement votre complexité de la conformité PCI en éliminant la transmission des données de carte de crédit de votre environnement. Notre API de redirection transparente ( BRINTRESE-CARD-STORAGE/TOKENTIZATI sur ) Vous permet de conserver le contrôle et la stratégie de stratégie dans le processus de paiement sans toucher des numéros de carte de crédit.
Vous savez peut-être déjà que le CVV2 est utilisé dans une vérification AVS / CSC effectuée en prenant les numériques de l'adresse client, les numériques du code postal et des numéros du CVV2 et les comparant avec des valeurs connues détenues par l'émetteur de la carte.
Le résultat de la vérification AVS / CSC renvoie une valeur à trois chiffres qui vous permet de savoir si les valeurs d'adresse / CVV2 correspondent à celles détenues dans le fichier par l'émetteur de la carte. Le résultat de cette vérification peut ensuite être utilisé pour aider à prévenir les transactions frauduleuses.
Par conséquent, un moyen courant de s'attaquer à la question de ne pas pouvoir stocker le code CVV2 réel est plutôt de stocker le résultat CVV2 Tous ont dit cependant, vous trouverez la conformité PCI plus facile si vous utilisez plutôt un fournisseur de services qui vous permet de contenir des valeurs de jeton plutôt que des numéros de carte réels.
Un autre problème avec des paiements récurrents que je ne sais pas si vous avez considéré que le fait que les cartes de temps expiraient, être annulées ou ré-émises. Visa et MasterCard ont tous deux un service relativement nouveau appelé Compte Visa Datare de compte ou MasterCard Updater de facturation automatique pour gérer cela. C'est quelque chose que vous auriez besoin d'organiser avec votre banque d'acquisition, ou si vous allez une route PSP, elle sera probablement traitée automatiquement - mais vaut la peine de vérifier.
Les taux d'échange apparemment plus élevés ne sont pas chargés si le code CVV2 est absent - selon Braintree: BRINTREEPAYMATIONSOLUTIONS.COM/BLOG/...
Ça a l'air bien. Ici en Europe, nous avons des acquéreurs qui modifient le taux d'échange. J'ai eu des discussions avec Barclays à ce sujet par exemple.
Voici comment Barclays l'a libellé, c'est dans l'impression fine! barclaycardbusiness.co.uk/existing_customers/accepting_cards / ... "Utilisation Ces services n'étaient pas obligatoires, cependant en l'utilisant, il veillera à ne pas engager des frais supplémentaires pour des transactions non sécurisées pour chaque élément traité sans le code de sécurité de la carte "
Cet article explique les problèmes liés à la facturation récurrente Un nombre de CVV2 vraiment bien et vaut la peine de lire: http://kb.modularmerchant.com/a378-credit-card-security -codes.php