Deberá seguir (al pie de la letra) y preferiblemente superar el estándar PCI DSS . Esta no es, de ninguna manera, una tarea fácil de realizar ni debe tomarse de manera trivial.
Yo fuertemente recomiendo que encontrar un procesador de terceros que puede manejar esto para usted e integrarlo en su sistema de facturación. Va mucho más allá de solo tener SSL y cifrar la información en la base de datos. También debe monitorear el acceso, detectar intrusiones, tener sistemas en su lugar que puedan notificar solo a las personas afectadas en caso de una violación (y determinar qué datos pueden haber sido comprometidos), etc.
Luego, hay acceso físico a los servidores, la red, etc. Esto significa un gabinete bloqueado que no se comparte en los servidores que posee donde la LAN física también está protegida. El cumplimiento no será barato ni fácil.
Realmente, dedique todos los esfuerzos posibles para descargar esto a un tercero. La responsabilidad por sí sola simplemente no vale el riesgo a menos que esté hablando de transacciones que ascienden a cientos de miles de (ingrese su moneda aquí) mensualmente. En ese caso, las tarifas que ahorre podrían justificar el talento necesario para implementar y monitorear los sistemas que almacenan la información. Necesitarás:
- Programadores de sistemas (necesitará ganchos de auditoría a nivel de kernel y sistema de archivos)
- Gurús de IDS / IPS (a menos que ames el bloqueo de proveedores)
- Personal 24/7/365 para monitorear las alertas generadas a partir de los sistemas que los expertos diseñaron. Estas personas no son baratas, toman la decisión de desconectar la facturación o informar un error en los algoritmos que utiliza.
Y, de nuevo, podría descargar todo eso a un tercero, de manera bastante económica.