Church Retreat Online Регистрация / Оплата

Question

Мне дали задание создать регистрационную страницу для предстоящего церковного отступления. С точки зрения дизайна, он будет состоять из полей для имени, пола, номера телефона, адреса электронной почты и класса. Нам нужен способ для того, чтобы конечный пользователь поместил информацию о своей кредитной / дебетовой карте и попросил ее взимать плату за отступление.

После некоторых поисков я обнаружил, что Braintree предлагает хороший сервис (их нравится 37 сигналам). Недостатком является то, что я понятия не имею, как внедрить такую ​​систему в мой сайт. Таким образом, мы собираемся подать для учетной записи продавца, используя их сервис. Я также нашел документацию о том, как реализовать это с помощью PHP.

Мой вопрос , я должен сделать что-нибудь еще? Я всегда слышал о https, но я не знаю, следует ли мне это реализовать. Какие меры безопасности я должен принять? Должны ли номера кредитных карт храниться в базе данных в виде простого текста или в зашифрованном виде? Кто-нибудь использовал Braintree и может сообщить мне, чего ожидать после получения торгового счета?

Редактировать: Я просматривал код документации PHP и был потерян при этом:

Braintree_Configuration::environment('sandbox');
Braintree_Configuration::merchantId('your_merchant_id');
Braintree_Configuration::publicKey('your_public_key');
Braintree_Configuration::privateKey('your_private_key');

Я предполагаю, что для тестирования среды выбрана песочница, но предоставляется ли вам merchantId после создания учетной записи? Кроме того, я понятия не имею, что такое открытый или закрытый ключ.

Answer 1

Наймите кого-нибудь с опытом электронной коммерции, чтобы сделать это.Если вы не знаете, что такое https, вам не следует обрабатывать конфиденциальную информацию, например номера кредитных карт или обработку платежей.Последствия плохой реализации: огромные , и от этого буквально могут быть разрушены жизни.

Не храните данные кредитной карты в базе данных. Это плохоИдея по многим причинам перечислена во многих местах в Интернете. Соответствие PCI является наиболее часто упоминаемым.Это действительно очень плохая идея.

Https , кстати, является защищенной версией протокола http и позволяет шифровать трафик http между клиентами (обычно браузером и сервером, но не всегда).Он реализуется путем установки SSL-сертификата .

. Лучше всего использовать аккаунт продавца и сервис платежного шлюза, такой как API SIM Authorize.Net , которыйобрабатывает форму заказа для вас.Таким образом вы передадите им обработку конфиденциальных данных.

Вы можете прочитать Торговые счета 101 и Электронная торговля 101 , прежде чем продолжить. Отказ от ответственности, я написал эти статьи.

Answer 2

Вторая причина, по которой стоит рассмотреть такой сайт, как Google Checkout, Amazon или Paypal, заключается в том, что крупные продавцы взимают установленную комиссию в месяц плюс комиссия за транзакцию. Если это разовая сделка, регистрационные сборы не так уж значительны, или вы не планируете использовать его круглый год, скорее всего, не стоит идти по этому пути, даже если профессионал выполняет свою работу. Я много работаю с небольшим количеством некоммерческих организаций, и единственный способ, которым они могут позволить себе вести торговые счета, - это группировать ресурсы ... но это поднимает несколько сложных вопросов бухгалтерского учета.

Даже проще, чем делать всю работу самостоятельно, рассмотрите простой сайт онлайн-регистрации, такой как Active.com (или множество других сайтов - я бы поспорил, что есть даже один специально для церковных групп). регистрация, и они делают это для сотен небольших парков и регистраций типа rec, так что они, безусловно, смогут сделать что-то подобное. Поверьте мне, построив несколько систем регистрации, нет ничего хуже, чем появление первой ошибки, из-за которой 50 регистрантов появляются незарегистрированными или кто-то заряжается 4 раза.

Answer 3

Вы не должны и не можете хранить информацию о вашей кредитной карте в вашей базе данных.В основном любой платежный сервис, такой как Braintree, будет обрабатывать ввод конфиденциальных данных, HTTPS и все остальное.Все, что вам нужно сделать, это дать правильный запрос платежному шлюзу и обработать ответ.

Answer 4

Если у вас нет веских оснований для прокрутки, используйте стороннюю службу для обработки ваших регистраций. Среди других упомянутых, некоторые из моих друзей, которые устраивают шоу и уроки импровизации, используют eventbrite.com и brownpapertickets.com

Оба будут использовать небольшую плату за обслуживание