Hallo C4,
ich kenne mich zwar mit Shop- Systemen und der Datenhaltung bei diesen nicht aus, aber folgende Regeln solltest Du unbedingt beachten:
- Überprüfe zuerst "offline" die Kreditkartennummer. Hierzu gibt es frei erhältliche Skripte, die u.a. auch in verschiedenen PHP- Büchern abgedruckt sind. Wenn Du willst sende ich Dir mal eins, daß im PHP- Buch von Jörg Krause abgedruckt ist.
Beachte bei Verwendung des bzw. dieser Skripte aber, daß diese nicht überprüfen können, ob die Nummer wirklich existiert, frei (nicht gesperrt) bzw. noch gültig ist.
Mit "offline" meine ich, daß Du die Nummer prüfen solltest, bevor Du die Nummer zur Kostenabrechnung an offiziell zertifizierte Stellen weiter leitest, die dann auch überprüfen, ob die Nummer wirklich gültig ist. Diese Überprüfungen kosten Dich in jedem Fall Geld, das bei offensichtlich falschen Nummern unnötig bezahlt wird.
- Es gibt verschiedene von den Kreditkartengesellschaften zertifizierte Stellen, die für Online- Shops Zahlungen vornehmen. Dort wird auch die Kreditkartennummer überprüft.
- Achte beim Speichern von sensiblen Daten wie Kreditkartennummer, Blz und Kontonummer darauf, daß diese wenn möglich verschlüsselt in der Datenbank abgelegt werden und vor allem, daß diese verschlüsselt zum Server gesendet werden (Stichwort SSL)
- Achte beim Datenaustausch mit Dritten (Kreditkartenunternehmen bzw. deren Beauftragten) darauf, daß sämtliche Kommunikation verschlüsselt stattfindet.
Es gibt verschiedene Rechnungsarten, u.a.:
- Per Vorkasse (Kunde gibt Geld, Händler liefert danach)
- Auf Rechnung (Händler liefert, Kunde zahlt später)
- Per Nachnahme (Händler liefert, Kunde zahlt beim Postboten)
Als allgemeinen Tip kann ich Dir noch geben, daß Du eventuell mal eine Mail an Visa, Mastercard und AmEx sendest, in der Du diese fragst, welche Bedingungen erfüllt sein müssen, damit Du Zahlungen per Kreditkarte annehmen darfst und, für Dich interessant, was diese kosten.
HTH,
Andy
Ergänzung:
- Suche mal in der Google Gruppe alt.comp.lang.php nach "credit card". Dort gibt es ein paar gute Threads zu diesem Thema, leider meistens auf die USA bezogen (z.B.: der Thread Re: Credit Card verification vom 29.8.2001 von Matthew Smith)
- Gute Diskussionen zum Thema Kreditkartendaten und Datenbanken: Google Gruppe mailing.database.mysql, suche nach "credit card".
- PHP- Funktionen bzgl. Verisign Payment Funktionen:
http://www.php.net/manual/en/ref.pfpro.php