Melon77

Dzięki za odpowiedzi. Właśnie cała idea polega na tym, że nie my mamy autoryzować karty ani ich obciążać - naszym zadaniem ma być tylko zebranie wszelkich informacji od klienta - łącznie z numerem karty - i przekazanie ich firmie, która z nami współpracuje. Wiadomo, że powstaje wtedy problem, kto jest odpowiedzialny za ewentualne nadużycia w razie problemów - czy my, którzy przechowujemy i przekazujemy numery kart, czy firma docelowa, która dostaje te numery i pobiera opłaty. Tego typu systemy może nie są popularne ale już istnieją - chociażby http://www.booking.com/ - tam rezerwując hotel podajesz swoje dane karty kredytowej, jednak nie ma żadnej autoryzacji online (choć piszą że czasem mogą pre-autoryzować), możesz nawet podać fikcyjne numery i system je zaakceptuje. Te numery są potem przekazywane konkretnemu hotelowi, który obciąża kartę. W jaki sposób następuje to przekazanie, tego nie wiem, ale raczej na pewno musi to być drogą szyfrowaną. W ochronie prywatności mają zapis "Dane Państwa karty kredytowej są przez nas przechowywane nie dłużej niż 10 dni od dokonania rezerwacji. Po tym czasie dane Państwa karty kredytowej zostaną usunięte z naszego systemu." Chodzi mi właśnie o tego typu system przechowywania kart na swoim serwerze - jakie są prawne wymagania wobec takiej witryny? Jeśli trzeba przejść jakiś audyt, zdobyć certyfikat, itp. to do jakiej instytucji trzeba się zgłosić?

Witam, Chciałbym się dowiedzieć, jakie warunki musi spełniać serwer oraz administrator, aby można legalnie przechowywać numery kart kredytowych. Czytałem o wysokich wymaganiach, jakie istnieją na zachodzie, natomiast nie byłem w stanie znaleźć żadnych konkretnych informacji odnośnie polskiego prawa. W skrócie chodzi mi o taki scenariusz, zakładając że ja jestem wykonawcą serwisu: - klienci podają nr karty kredytowej w serwisie (oczywiście SSL) razem z datą ważności i kodem CVC - nikt z naszego serwisu nie będzie obciążał tych kart, jedynie ich numery będziemy udostępniać firmom (np. hotelom), które będą używać kart jako zabezpieczenia rezerwacji i potem ew. pobrać płatność, więc generalnie pomysł jest taki, żeby dane karty były przechowywane w naszej bazie przez kilka dni, po to, aby upoważniona firma miała do nich dostęp za pomocą loginu i hasła (przez SSL) Czyli generalnie chodzi o system przekazania numeru karty podmiotowi trzeciemu, który w tradycyjny sposób zbiera je np. za pomocą faksu lub telefonu. Ponieważ numery te byłyby przechowywane w naszej bazie, to domyślam się, że muszą być spełnione pewne wymogi dotyczące serwera i sposobu administrowania. Interesują mnie takie rzeczy: - jakie są wymagania, które musi spełniać podmiot przechowujący numery kart kredytowych wg polskiego prawa lub/i gdzie można uzyskać takie informacje, do kogo się zgłosić? - czy można takie dane przechowywać na hostingu współdzielonym, czy trzeba pomyśleć nad serwerem dedykowanym lub własnym? - ile mniej więcej coś takiego może kosztować? Pozwolenia, zabezpieczenia techniczne, itp. - czy są może jakieś zewnętrzne serwisy, z których usług mogę skorzystać, żeby uniknąć przechowywania numerów kart u siebie? Np. coś w rodzaju platnosci.pl, z tym że tu sytuacja jest inna, bo ja nie chcę pobierać płatności, chcę jedynie przechowywać chwilowo numery kart do wglądu dla innych firm. Mam nadzięję, że ktoś będzie w stanie naprowadzić mnie bliżej na temat