Zoals hierboven vermeld, sla geen creditcardgegevens op in een database. Het is een recept voor problemen. Als u dit doet, wordt u een zeer aantrekkelijk doelwit voor hackers en, als ze erin slagen ze terug te halen, zal uw bedrijf eindigen en mogelijk uw leven verwoesten, evenals het leven van degenen wiens creditcardnummers zijn gestolen.
Dat gezegd hebbende, zijn hier drie dingen om te overwegen:
1) U kunt het beste een betalingsverwerker/betalingsgateway gebruiken die terugkerende facturering biedt. Een voorbeeld hiervan is Automated Recurring Billing van Authorize.Net onderhoud. Nadat u het abonnement heeft ingesteld, wordt de gebruiker automatisch elke maand automatisch voor u gefactureerd en laten ze u de resultaten van de transactie weten. Het bespaart u een hoop werk en ontheft u van de aansprakelijkheid voor het opslaan van creditcardgegevens.
2) Als u creditcardnummers opslaat, moet u de PCI-richtlijnen volgen . Deze richtlijnen zijn opgesteld door de betaalkaartindustrie en bepalen wat u wel en niet kunt doen. Het definieert ook hoe creditcardgegevens moeten worden opgeslagen. U moet de creditcardnummers coderen en u moet, maar bent niet verplicht, gerelateerde informatie (vervaldatum, enz.) coderen. U moet er ook voor zorgen dat uw webserver en netwerk veilig zijn. Als u niet aan PCI-compliance voldoet, verliest u uw verkopersaccount en wordt u voor altijd uitgesloten van een echt verkopersaccount. Dat zou u beperken tot het gebruik van processors van derden die minder flexibel zijn. Houd er rekening mee dat PCI-richtlijnen een goed begin zijn, maar nauwelijks een "how to" als het gaat om online beveiliging. Je doel zou zijn om de aanbeveling (veel) te overtreffen.
3) Staats- en landspecifieke wetten hebben voorrang op PCI-compliance. Als u een inbreuk maakt en creditcardnummers worden gestolen, riskeert u strafrechtelijke vervolging. De wetten verschillen van staat tot staat en zijn voortdurend in beweging, omdat wetgevers zich nog maar net beginnen te realiseren hoe ernstig dit is.
Wat versleuteling betreft, zorg ervoor dat u leest welke versleutelingsalgoritmen veilig zijn en nog niet zijn verbroken. Blowfish is een goed begin en als je PHP gebruikt, de mcrypt-bibliotheek wordt aanbevolen (voorbeeld ).