Como se mencionó anteriormente, no almacene información de tarjetas de crédito en una base de datos. Es una receta para los problemas. Si lo hace, se convertirá en un objetivo muy atractivo para los piratas informáticos y, si logran recuperarlos, terminará con su negocio y podría arruinar su vida y la vida de aquellos cuyos números de tarjeta de crédito sean robados.
Habiendo dicho eso, aquí hay tres cosas a considerar:
1) Su mejor opción es utilizar un procesador de pago/pasarela de pago que ofrezca facturación recurrente. Un ejemplo de esto es Facturación recurrente automatizada de Authorize.Net Servicio. Una vez que configure la suscripción, le facturarán automáticamente al usuario todos los meses y le informarán los resultados de la transacción. Le ahorra mucho trabajo y lo libera de la responsabilidad de almacenar la información de la tarjeta de crédito.
2) Si almacena números de tarjetas de crédito de tiendas, debe seguir las directrices de PCI . Estas pautas las establece la industria de las tarjetas de pago y definen lo que puede y no puede hacer. También define cómo se debe almacenar la información de la tarjeta de crédito. Deberá encriptar los números de la tarjeta de crédito y debe, pero no está obligado a encriptar la información relacionada (fecha de vencimiento, etc.). También se le pedirá que se asegure de que su servidor web y su red sean seguros. Si no cumple con el cumplimiento de PCI, perderá su cuenta de comerciante y se le prohibirá tener una verdadera cuenta de comerciante para siempre. Eso lo limitaría a usar procesadores de terceros que son menos flexibles. Tenga en cuenta que las pautas de PCI son un buen comienzo, pero difícilmente un "cómo hacerlo" cuando se trata de seguridad en línea. Tu objetivo sería superar la recomendación (por mucho).
3) Las leyes específicas del estado y del país reemplazan el cumplimiento de PCI. Si sufre una infracción y le roban los números de la tarjeta de crédito, corre el riesgo de ser procesado penalmente. Las leyes varían de un estado a otro y cambian constantemente, ya que los legisladores apenas comienzan a darse cuenta de la gravedad de este asunto.
En lo que respecta al cifrado, asegúrese de leer qué algoritmos de cifrado son seguros y aún no se han roto. Blowfish es un buen comienzo y si usa PHP, la biblioteca mcrypt se recomienda (ejemplo ).