Как заряжать кого-то переменную сумму каждые 2 месяца без сохранения кода CVV?

Question

У нас есть физический продукт, который поставляется каждые 2, 3 или 4 месяца в зависимости от предпочтений клиента. В промежутках между отгрузками пользователь может выбрать изменить свой выбор.

Прежде, чем кто-либо предложит это, я уверен, что повторяющаяся биллинговая система (например, Paypal) не подходит для наших нужд. По двум причинам такая система, как Paypal, кажется не идеальной.

• Они позволяют делать ежемесячно, ежеквартально, ежегодно. Не каждые 2 или 3 месяца. [Paypal API document here]
• Мы хотим, чтобы клиент был в состоянии «отправить сейчас», если они хотят, чтобы их продукты были ранними или позднее обычного графика.
• С его физического продукта мы не можем разделить его на пропорциональную ежемесячную сумму.

Я думаю, поэтому нам придется перезаписывать, используя тот же механизм, что и мы, когда создается начальный порядок - с кодом CC numebr и CVV2. Но, очевидно, мы не можем хранить код CVV2 для соответствия PCI!

Недавно я натолкнулся на 'BrainTrees' payment services, что позволяет вам создать первоначальную транзакцию и получить «токен», который представляет номер этой кредитной карты. Этот токен безопасен для хранения, потому что он бесполезен для вора. Это помогает минимизировать работу, необходимую для соблюдения PCI.

Я полностью уверен в использовании решения BrainTree. Кажется, он идеален для того, что нам нужно - но это оставляет меня в замешательстве по поводу предложения Paypal. Как мне достичь того, что я пытаюсь сделать с любой системой, отличной от BrainTree, без необходимости хранить код CVV2?

Answer 1

Вы, возможно, уже знаете, что cvv2 используется в проверке avs/csc, которая выполняется путем ввода чисел из адреса клиентов, числа из почтового/почтового индекса и чисел из cvv2 и сравнения их с известными значениями, хранящимися в карте эмитент.

Результат проверки avs/csc возвращает трехзначное значение, которое позволяет узнать, соответствуют ли значения address/cvv2 тем, которые хранятся в файле эмитентом карты. Результат этой проверки может быть использован для предотвращения мошеннических транзакций.

Таким образом, общий способ решения проблемы неспособности сохранить фактический код cvv2 заключается в том, чтобы сохранить результат cvv2.Таким образом, вы можете быть достаточно уверены в том, что пока адрес не был изменен, карта по-прежнему действительна. Единственным недостатком этого подхода является то, что некоторые банки-банкиры считают, что авторизации, выполненные без проверки cvv2, являются небезопасными и взимают более высокую скорость обмена. Возможно, вам придется обсудить это с вашим покупателем, чтобы объяснить, что только авторизация выполняется с проверкой cvv2, а последующие - нет.

Все сказанное, однако, вы найдете соответствие PCI намного проще, если вместо этого вы используете поставщика услуг, который позволяет хранить значения токена, а не фактические номера карт.

Еще одна проблема с повторяющимися платежами, которые я не уверен, если вы считаете, это тот факт, что по истечении срока действия карты истечет, будет отменена или переиздана. Visa и MasterCard имеют относительно новую услугу, называемую Visa Account Updater или MasterCard Automatic Billing Updater. Его то, что вам нужно будет организовать с вашим банком-приобретением, или если вы поедете по маршруту PSP, вероятно, это будет автоматически, но стоит проверить.

Answer 2

Прошло некоторое время с тех пор, как я должен был сделать что-то вроде этого ... и Я использовал API Verisign Payflow. Вы можете проверить это.

В меру моей памяти платежные шлюзы настоятельно рекомендуют хранить данные карты.

Рекомендуемый механизм - использовать ссылочный номер из первоначальной транзакции, а затем связать с ней новую транзакцию; он должен быть очень похож на способ, которым управляет Дерево Мозга.

Answer 3

Большинство шлюзов не требуют работы cvv. Этот код по существу означает «наличие кредитной карты» и не должен использоваться для повторяющихся транзакций.

Брэйнтри кажется довольно хорошим вариантом, если вы не хотите стычки в соответствии с PCI (который я должен был сделать, не трудно, но требует справедливых немного процесса, который будет создан)

Answer 4

В данной статье описываются проблемы вокруг повторяющихся биллинг номера CVV2 действительно хорошо, и стоит прочитать: http://kb.modularmerchant.com/a378-credit-card-security-codes.php