Bezahlmethoden: welche Informationen speichern

[prinzschleifer]

Hallo Community,

ich bin grade dabei einen Online Shop zu programmieren, nun weiß ich nicht welche Informationen ich speichern soll. Natürlich muss hier erstmal differenziert werden.
Bei einem normalen Bankeinzug muss der Kunde mit seine BLZ usw. mitteilen. Soll ich diese aus Sicherheitsgründen nicht speichern und direkt per Mail weitergeben oder ein eigene Verschlüsselung benutzten? Wie sieht es mit Kreditkarteninformationen aus. Ich geh einfachmal davon aus das mein Server eine SLL Leitung hat, muss ich dann irgendwas bei der programmieren brachten? Ich verlier bei den Sachen einfach den Überblick. Kann mich jemand in eine Richtung leiten?

Grüße,
prinzschleifer

 

[Sven Mintel]

Also ich würde das schon serverseitig abspeichern, eine Buchhaltung per eMail ist nicht gerade das Wahre, würde ich sagen, und die Daten aus der Email in die Buchhaltung zu überführen eher suboptimal und fehleranfällig.

Zu SSL kann ich dir nichts sagen :-(

 

[Michael Engel]

Kreditkarten sind sehr sehr Sensibel.

Damit du auf deinem Server Kreditkartendaten überhaupt speichern "darfst" muss er von Mastercard, Visa usw teuer Zertifiziert werden. Die Preise hierfür übersteigen schnell die 10.000€. Mit unzertifizierten Servern läuft man eben gefahr abgemahnt oder verklagt zu werden falls doch mal etwas passieren sollte.

Daher sollte man sich überlegen ob dies denn überhaupt nötig ist, es gibt einige Online-Zahlungsanbieter die einen für eine kleine gebühr die Daten auf gesicherten Servern speichern und man selbst arbeitet nur noch mit Transaktionsnummern. Mit denen ein Hacker im Zweifelsfall auch nichts anfangen kann, solang er nicht das Master Passwort hat.

Ein beispiel Anbieter der relativ günstig ist, ist iPayment von 1&1. Hier kann man die Beträge natürlich auch checken und vorbuchen und dann beim Versand erst die wirkliche abbuchung durchführen lassen. So ein Vorteil hier währe natürlich auch das dein Shop sofort online sagen kann ob die Daten stimmen und du nicht jedes mal neu die Kunden anschreiben musst und sagen "hey die nummer war falsch"

 

[prinzschleifer]

Ah vielen dank für den Tipp, ich werde da mal weiter recherschieren. SSL schützt aber bei dieser Zertifizierung nichts, bzw wozu ist es dann da? Machen die anderen das auch über solche anbieter?

 

[Gumbo]

Mit SSL wird die Datenübertragung verschlüsselt. Das verhindert einmal so genannte Man-in-the-middle-Angriffe, bei denen die Daten mitgehört werden, und stellt gleichzeitig die Authentizität des Servers sicher.
Verschlüsselte Übertragung sollte eigentlich immer bei der Übertragung von sensiblen Daten genutzt werden, bei so hoch sensiblen Daten wie Kreditkarteninformationen erst recht.

 

[port29]

Und wie macht man es eigentlich bei einer regelmäßigen Zahlung? Sagen wir mal, ich will von meinen Kunden alle 90 Tage die Summe X auf den Karten belasten. Dann müsste ich doch eigentlich die Kartennummern irgendwo gespeichert haben, bzw. irgendeine referenz auf die daten