e-commerce y tarjetas de crédito

Muy buenas noches!
Estoy totalmente en medio de una nebulosa. A ver si alguien me puede orientar en lo siguiente:

¿Dónde puedo conseguir información acerca de "cómo enviar los datos de una tarjeta de crédito directamente a una central que la autorice? y... siguiendo en la más pura nebuloza (se admiten risas pero por sobre todo una ayudita) ¿Cuál sería esa central?

Resumen: donde puedo informarme detalladamente del funcionamiento de un verdadero sistema de e-commerce??

Mil gracias a todos!

Definitivamente con un banco local que maneje transacciones electrónicas VPOS(Virtual Point of Sale) no se como será el tema allá en Argentina, pero en mx, solo hay dos bancos(me parece) que operan con estas terminales virtuales, realmente de parte del programador no se requiere más que envíes los datos que te requieren(previa validación) y que captures la respuesta que te envían, un SSL y listo, por parte del que contrata el servicio, se requiere una cuenta mercante(merchant account), una renta mensual por el uso de la terminal virtual y un saldo mínimo en dicha cuenta.

Salu2,

u_goldman te agradezco un montón la información.
Te cuento (y les cuento a los que les interese el tema) que buscando en Google (luego de unas tresmil horas :D) encontré bastante información y lo que tu me dices es muy acertado. Según lo que leí requiere:
Para el servidor:
- Obtensión de un sitio seguro (SSL)
- Obtención de certificado de seguridad emitido por una "Autoridad Certificadora" (por ejemplo, Verisign)
Para el comercio:
- Obtención de una cuenta mercantil emitida por una entidad bancaria
- Pagar por ese servicio al banco

Exactamente lo que tu me comentas u_goldman!!!!

Y, otra cosa (sigo contando por si interesa), al tener un servidor seguro (SSL) con su correspondiente certificado, los datos aportados por el cliente (el comprador) viajan encriptados por Internet mediante un sistema denominado "clave asimétrica" (alguien corrija si meto la pata) y se envían mediante correo electrónico al banco correspondiente.

Resta saber algo (a ver donde lo encuentro - ¡¡Una "Aiudita plis!!): El banco le otorga al comerciante dos números únicos: el MID (identifica al comercio) y el TID (identifica la terminal donde el comerciante procesa las transacciones). Hasta acá, todo más o menos (menos que más) entendido, pero... ¿Esos datos imagino que deberán llegar conjuntamente con los del cliente a la entendidad bancaria????.

(continuará...) :D
Si alguien sabe de ello, bienvenido!!!! Yo mientras sigo intentando con el amigo Sr. Google Punto Com a ver que me cuenta.

Gracias nuevamente u_goldman!!!

No hay de qué...y sí estás en lo correcto, el banco te asigna una clave de "comercio", yo he implementado estas interfaces, pero nunca mediante correo electrónico, imagínate que yo cliente hago mi requerimiento para una terminal virtual en el banco que brinda este servicio, el banco me pedirá ciertos datos como son:

- Acta de la empresa
- Representante legal
- Un certificado SSL(Verisign, Thawte->mas barato )
- Una cuenta mercante
- Una URL desde donde le llamaré(https:// por supuesto)
- La URL back, esto es a dónde me regresará respuesta
- Contacto del programador
- Método mediante el cuál le enviaré los datos(post, get)

Y me dará las especificaciones técnicas de su aplicación:
- El número de variables que me pide que llegue a su interfaz, con sus validaciones correspondientes
- El número de variables que regresarán a mi sistema

Al momento de completarse este proceso con el banco te dan:
- Un código de interfaz
- Password de acceso a la terminal virtual

Regularmente todos los datos se los haces llegar mediante formularios con el método que tú elijas, pero eso si, deberán viajar en forma segura, con la ayuda de un SSL, como es muy costoso, existen algunos proveedores de hosting que te permiten hacer llamadas a su SSL, por eso es que el banco te da la facilidad de enviar una URL desde donde te llamarán, todo este proceso es más sencillo, si cuentas con una certificación de una autoridad externa que avale la legalidad de tu sitio (un número de DUNS & Bradstreet por ejemplo).

Los procesos que hagas tú con el manejo de la respuesta dependen exclusivamente de tí, por lo cual deberás desarrollar la aplicación que procese la compra en base a la respuesta envíada por el banco, regularmente al darte de alta, te piden ciertas políticas de seguridad que serán reglas para ellos como pudieran ser: el número de intentos de compra con una misma tarjeta, la cantidad máxima en dinero con dicha tarjeta, o el número de intentos por intervalos regulares de tiempo, pues en caso de fraude por Internet, el banco penaliza al comercio, no se hace responsable por dichos fraudes.

Obvio a su vez el banco te pedirá ciertas cosas a validar como pueden ser además del número de tarjeta, el país ciudad, estado dirección C.P. y demás datos del tarjetahabiente.

Salu2,

P.D. Como dato únicamente, está prohibido almacenar los números de tarjeta de crédito en tu DB...

u_goldman: Me lo has dado más claro que el agua!!!!!!!!!

Ya estoy entendiendo todo!!! No te imaginas cuanto te lo agradezco. Llevaba días buscando información en Internet y tu en un minuto me aclaraste todo.

A ver si me desazné un poquito: Una vez que el banco me pasa los datos de las variables que recibirá y las que me devolverá, yo, con todos esos datos, ya podré crear los módulos correspondientes para "finalizar la operación". Es decir ¡Esos datos me hacen falta para el proceso!!
Sí si. Creo que estoy un poco más en órbita que antes

Mil gracias de nuevo u_goldman!!!!

¿Es abusivo pedir una última "aiudita"??
Tienes idea de que es el sistema AVS (Addres Verification System) <-- o parecido. Leí que es un sistema que permite verificar que la dirección aportada por el cliente sea la misma dirección en la cual recibe mensualmente su resumen de cuenta (de la tarjeta de crédito). ¿Es así o entendí mal? ¿Cómo se implementa?
Pecando de burra: ¿El banco interviene, no??? <-- en la AVS me refiero.

Bueno, si ese AVS se trata de un proceso del banco(a decir verdad nunca lo escuché), no tienes que preocuparte, el banco te va a pedir algo parecido a

strDireccionUno = Primer renglón de la dirección como aparece en su estado de cuenta
strDireccionDos = Segundo renglón de la dirección como aparece en su estado de cuenta

Los cuales deberías enviar como

<form acrtion=urlBanco/archivo.xxx>
Primer Renglón de dirección como aparece en su estado de cuenta: <input type=text name=strDireccionUno value="">
</form>

Entonces mediante estas variables, el banco hará su parte y como te dije, solamente te dará una respuesta, la cuál deberás de procesar en tu sistema.

Espero que te haya quedado un poco mas claro...

Salu2,

Siiiiiiipi, u_goldman!!!!
Bien claro como el agua.

(y la gente pensará... "Era hora. Al fin lo entendió")

Mil gracias de nuevo!!!!

Hola, de casualidad no tendrán información para alguien que empieza de cero (osea yo!), talvez algún manual o ejemplo de código.

Gracias

mmmmhhhh...pues lo que pasa es que depende mucho del banco con el que te conectes, pero no tiene mayor problema, solo como "update", ya se hace la comexión por medio de componentes, ahora te proveen con una dll y sus métodos, lo cual lo hace todavía mas sencillo.

Salu2,

una pregunta...

es necesario ser una empresa?
yo podria hacerlo con mi web personal ?

un saludo

Definitivamente es necesario ser una empresa, es como en el mundo real, el banco no te provee de un POS(Point of Sale) a menos que no tengas todo en regla, incluso hasta algunos te piden un aval o una fianza solo para garantizar el buen uso de esta terminal, se aplicaría el mismo criterio para el mundo virtual.


Salu2,