Я создаю приложение, которое должно принимать платежи по кредитным картам с чем-то вроде active merchant. Что касается безопасности, можно ли жить на heroku и использовать authorize.net (или аналогичный) в качестве платежного шлюза?Можно ли делать платежи по кредитным картам с сервера heroku с помощью activemerchant?
Что делать, если необходимо хранить номера кредитных карт?
Редактировать
не будет переадресация пользователей authorize.net.
Простой ответ: да, я так считаю, но помимо этого это зависит.
Вы можете установить переменные среды для различных ключей и других значений, относящихся к сторонней службе (http://docs.heroku.com/config-vars), или просто проверить их и развернуть.
Если вы используете услугу размещенных платежей для authorize.net и отправляете их на сайт, вам не нужен ssl. Если у вас будет форма, в которой будут указаны номер кредитной карты и личная информация, пересылая это на authorize.net через свой API на сервере, вам необходимо настроить ssl для heroku (http://docs.heroku.com/ssl), чтобы ваша форма была безопасной.
Теперь одно дело принять платеж через кредитные карты и просто передать его thurgh, это другое, чтобы сохранить номера кредитных карт и другую личную информацию. Не указывая на различные документы стандартов безопасности (например, здесь применяется PCI DSS), я просто скажу, что, если вам абсолютно не нужно, не храните номера CC и связанные с ними личные данные, просто перейдите на шлюз и убедитесь, что вы не регистрация этих полей (http://guides.rubyonrails.org/security.html#logging). Если вам нужно хранить данные кредитной карты, я думаю, вам нужно больше контролировать базу данных и сервер, чтобы достичь соответствия, и я не знаю общий облачный узел, такой как AWS или heroku, который вы можете использовать и делать (возможно, какой-то другой пользователь SO исправит меня). Однако, используя платежный шлюз, такой как authorize.net, вы можете попасть туда.
Я также укажу, что в разных государствах теперь есть законы о хранении конфиденциальных данных (например, MA, где я живу), поэтому еще одна причина избежать этого, если это не важно для вашей бизнес-модели.
Для несколько устаревшей, но хорошее общее обсуждение соответствия PCI, смотрите здесь: http://broadcast.oreilly.com/2009/02/pci-in-the-cloud.html
«Если вам нужно передать данные кредитной карты» вы имеете в виду «магазин кредитной карты данные»? – James
Да, я имел в виду хранилище - отредактированный ответ. Благодарю. –
Мне любопытно - большинство платежных шлюзов требуют IP-адреса для сервера. Как это работает для размещенных на Heroku приложений, поскольку все они имеют одну и ту же запись A (proxy.heroku.com) –