教堂撤退在线注册/付款

Question

我被赋予了为即将到来的教堂撤退创建注册页面的任务。在设计方面，它将包含姓名，性别，电话号码，电子邮件和等级等字段。我们需要一种方式让最终用户放置他们的信用卡/借记卡信息，并让他们为撤退收费。

经过一番搜索，我发现Braintree提供了一个很好的服务（37信号喜欢他们）。缺点是我不知道如何将这种系统实施到我的网站。所以我们是going to apply为商家帐户使用他们的服务。我还发现documentation on how to implement it with PHP.

我的问题是，我还需要做其他事吗？我一直听说https，但我不知道这是我应该实施的。我应该采取哪些安全措施？信用卡号码应该以纯文本还是加密的形式存储在数据库中？有没有人使用Braintree，并且可以让我知道在获得商家帐户后会发生什么？

编辑：我一直在寻找通过PHP文件的代码，并在此丢失：

Braintree_Configuration::environment('sandbox'); 
Braintree_Configuration::merchantId('your_merchant_id'); 
Braintree_Configuration::publicKey('your_public_key'); 
Braintree_Configuration::privateKey('your_private_key'); 

我猜环境设置为沙箱进行测试，但之后你提供给您一个MERCHANTID开个账户？另外，我不知道公钥或私钥是什么。

Answer 1

雇用具有电子商务经验的人才能完成此操作。如果您不知道https是什么，那么您不应该处理敏感信息，如信用卡号码或处理付款。一个不好的实施的影响是巨大的和生活可以从字面上毁了。

不要将信用卡信息存储在数据库中。这是一个坏主意，因为在Interwebs上列出了许多地方的许多原因。 PCI Compliance是最常被引用的一个。这真是一个非常糟糕的主意。顺便说一下，http协议的安全版本，并允许在客户端（通常是浏览器和服务器，但并非总是）之间加密http流量。它通过安装SSL certificate来实施。

最好的选择是使用商家帐户和支付网关服务，如Authorize.Net's SIM API，它可以为您处理订单。这样你就可以将敏感数据的处理交给他们。

在继续之前，您可能需要阅读Merchant Accounts 101和Ecommerce 101。 免责声明，我写了这些文章。

Answer 2

您不应该也不能在您的数据库中存储任何信用卡信息。大多数支付服务如Braintree都会处理输入敏感数据，HTTPS和其他所有事情。您只需要向支付网关提供正确的请求并处理答案。

Answer 3

考虑诸如Google Checkout，Amazon或Paypal等网站的第二个原因是因为大商家按月收取设置费加交易费。如果这是一次性交易，注册费用并不那么重要，或者您不打算全年使用，即使有专业人员在做这项工作，也可能不值得走这条路线。我与很多较小的非营利组织做了大量的工作，他们能够负担得起商业账户的唯一方法是通过资源分组......但是这带来了几个棘手的会计问题。

比自己做所有的工作要容易得多，可以考虑一个简单的在线注册网站，比如Active.com（或者其他许多倍数的人 - 我打赌甚至有一个专门针对教会团体的）他们的业务是在线事件登记，他们为数百个较小的公园和记录类型登记这样做，所以他们当然有能力做这样的事情。相信我，已经建立了多个注册系统，没有什么比第一个弹出的错误更糟糕，这使得50个注册人显示未注册或4次向某人收费。

Answer 4

除非您有充分的理由推出自己的产品，否则请使用第三方服务为您处理注册。在别人提到的，我的一些朋友谁穿上表演和improptu类使用eventbrite.com和brownpapertickets.com

双方将钉在一个小的服务费