Witam,
Chciałbym się dowiedzieć, jakie warunki musi spełniać serwer oraz administrator, aby można legalnie przechowywać numery kart kredytowych. Czytałem o wysokich wymaganiach, jakie istnieją na zachodzie, natomiast nie byłem w stanie znaleźć żadnych konkretnych informacji odnośnie polskiego prawa.
W skrócie chodzi mi o taki scenariusz, zakładając że ja jestem wykonawcą serwisu:
- klienci podają nr karty kredytowej w serwisie (oczywiście SSL) razem z datą ważności i kodem CVC
- nikt z naszego serwisu nie będzie obciążał tych kart, jedynie ich numery będziemy udostępniać firmom (np. hotelom), które będą używać kart jako zabezpieczenia rezerwacji i potem ew. pobrać płatność, więc generalnie pomysł jest taki, żeby dane karty były przechowywane w naszej bazie przez kilka dni, po to, aby upoważniona firma miała do nich dostęp za pomocą loginu i hasła (przez SSL)
Czyli generalnie chodzi o system przekazania numeru karty podmiotowi trzeciemu, który w tradycyjny sposób zbiera je np. za pomocą faksu lub telefonu. Ponieważ numery te byłyby przechowywane w naszej bazie, to domyślam się, że muszą być spełnione pewne wymogi dotyczące serwera i sposobu administrowania. Interesują mnie takie rzeczy:
- jakie są wymagania, które musi spełniać podmiot przechowujący numery kart kredytowych wg polskiego prawa lub/i gdzie można uzyskać takie informacje, do kogo się zgłosić?
- czy można takie dane przechowywać na hostingu współdzielonym, czy trzeba pomyśleć nad serwerem dedykowanym lub własnym?
- ile mniej więcej coś takiego może kosztować? Pozwolenia, zabezpieczenia techniczne, itp.
- czy są może jakieś zewnętrzne serwisy, z których usług mogę skorzystać, żeby uniknąć przechowywania numerów kart u siebie? Np. coś w rodzaju platnosci.pl, z tym że tu sytuacja jest inna, bo ja nie chcę pobierać płatności, chcę jedynie przechowywać chwilowo numery kart do wglądu dla innych firm.
Mam nadzięję, że ktoś będzie w stanie naprowadzić mnie bliżej na temat
