Som nævnt ovenfor må du ikke gemme kreditkortoplysninger i en database. Det er en opskrift på ballade. Hvis du gør det, vil du blive et meget attraktivt mål for hackere, og hvis det lykkes dem at hente dem, afslutte din virksomhed og potentielt ødelægge dit liv såvel som livet for dem, hvis kreditkortnumre er stjålet.
Når det er sagt, er der tre ting at overveje:
1) Dit bedste bud er at bruge en betalingsprocessor/betalingsgateway, der tilbyder tilbagevendende fakturering. Et eksempel på dette er Authorize.Nets automatiske tilbagevendende fakturering service. Når du har oprettet abonnementet, vil de automatisk fakturere brugeren hver måned for dig automatisk og fortælle dig resultaterne af transaktionen. Det sparer dig for et væld af arbejde og fritager dig for ansvaret for at gemme kreditkortoplysninger.
2) Hvis du gemmer butikskreditkortnumre, skal du følge PCI-retningslinjer . Disse retningslinjer er fastsat af betalingskortbranchen og definerer, hvad du må og ikke må. Det definerer også, hvordan kreditkortoplysninger skal opbevares. Du bliver nødt til at kryptere kreditkortnumrene, og du bør, men er ikke forpligtet til, at kryptere relaterede oplysninger (udløbsdato osv.). Du vil også være forpligtet til at sikre, at din webserver og netværk er sikre. Hvis du ikke overholder PCI-overholdelse, vil det resultere i at du mister din købmandskonto og bliver udelukket fra at have en ægte købmandskonto for evigt. Det ville begrænse dig til at bruge tredjepartsprocessorer, som er mindre fleksible. Husk på, at PCI-retningslinjer er en god start, men næppe en "hvordan" når det kommer til online sikkerhed. Dit mål ville være at overgå anbefalingen (med meget).
3) Stats- og landespecifikke love erstatter PCI-overholdelse. Hvis du bliver udsat for et brud, og kreditkortnumre bliver stjålet, risikerer du strafferetlig forfølgelse. Lovene varierer fra stat til stat og er konstant i forandring, da lovgivere kun lige er begyndt at indse, hvor alvorlig en sag dette er.
For så vidt angår kryptering, sørg for at læse op på, hvilke krypteringsalgoritmer der er sikre og ikke er blevet brudt endnu. Blowfish er en god start, og hvis du bruger PHP, er mcrypt-biblioteket anbefales (eksempel ).