Recorrência de Pagamento no e-Commerce com cartão de crédito (e um pouco de PCI)

Quantos de vocês têm curiosidade de saber como é que o Spotify, Apple, Netflix dentro outros mensalmente cobram seus clientes no cartão de crédito ou de débito e pedindo esse cartão apenas uma vez? Pois bem, aqui vou colocar algumas abordagens que permitem que essa operação seja feita e de forma segura (tanto para o prestador de serviço quanto para o cliente).

É necessário guardarmos dados do cliente dentro da plataforma e efetuando a cobrança de forma automática, é aqui que temos que levar em consideração detalhes de infraestrutura e desenvolvimento do sistema.

 

Desenvolvimento de software/produto segundo padrão PCI DSS

Há 12 regras/requerimentos que devem ser seguidos quando uma solução precisa seguir os requerimentos do PCI DSS, são elas:

  1. Instalar e manter um firewall para proteger dados de cartão de crédito.
  2. Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados.
  3. Proteger dados de cartões de crédito armazenados.
  4. Utilizar criptografia na transmissão de dados de cartões de crédito, manter um programa de Gerenciamento de Vulnerabilidades.
  5. Utilizar regularmente programas anti-vírus.
  6. Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso.
  7. Restringir acesso a dados de cartões de crédito por negócio e por pessoas que realmente precisam acessá-los.
  8. Designar um único ID para cada usuário da rede e sistemas.
  9. Restringir acesso físico aos dados de cartão de crédito, testar e monitorar a rede regularmente.
  10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
  11. Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidades.
  12. Manter uma política que enderece informações de segurança.

Não se engane pensando que esses requerimentos são aplicados somente ao software da solução, pois quando você lê o Guia Rápido do PCI DSS fica claro que o hardware também deve ser específico para suportar a operação.

 

Terceirizando a solução

Uma proposição para solução é gravar os dados do cartão dentro de um gateway de pagamento (que por sua vez já deve seguir todas as regas do PCI, portanto o prestador do serviço também já garantiria isso).

Aqui há uma proposição de arquitetura de infraestrutura que a AWS deixou disponível em seu site através do link PCI DSS Compliance on AWS, que está logo abaixo:

pci-on-aws-architecture.png

Talvez seja uma solução muito robusta e complexa para ser mantida por vendedor de serviços ou um varejista.

 

Utilize um gateway de pagamento

Aqui a solução fica bem mais fácil, basicamente vamos guardar os dados dos cartões dos nossos clientes dentro do gateway de pgamento, exatamente da mesma forma como fazemos quando utilizamos a solução de one-click-buy, gravamos um token dentro de nossa plataforma de eCommerce  e apenas passamos o mesmo para o gateway com a requisição de transação.

Aqui tem uma forma que o PayPal sugere para fazer pagamento recorrente, é bem parecido com o que vemos de integração com gateway de pagamento.

RecurringPaymentsFlowUX

Aqui temos temos uma fluxo simples que demonstra que, após ter o dados do cartão gravados na base de dados (qualquer que seja ela), basta ter um agendamento para fazer a requisição da transação novamente.

flow-recurring-payments

Quem é responsável pelas normas do PCI?

É a PCI Security Standards Council que faz a administração dos padrões de segurança do pagamentos de cartão, padrão também conhecido como PCI DSS. Esse órgão foi fundado por instituições como American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

Quem deve estar dentro desse padrão PCI DSS?

TODAS as empresas que transacionam, armazenam e processam dados do titulas do cartão (CHD – Card Holder Data/Dados do titular do cartão) ou dados que dependem de autenticação (SAD – Sensitive Authentication Data/Dados de autenticação sensíveis), se encaixam nesse perfil varejistas, comerciantes, processadores, compradores, emissores e provedores de serviços.

Bom, espero que isso esse material tenha agregado conhecimento a vocês. Até a próxima!

Referências

https://aws.amazon.com/pt/compliance/pci-dss-level-1-faqs/

https://www.pcisecuritystandards.org/

https://www.pcisecuritystandards.org/pci_security/glossary

https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf

https://developer.paypal.com/docs/classic/express-checkout/integration-guide/ECRecurringPayments/

http://paylane.com/recurring-payments/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.