是否可以使用activemerchant从heroku服务器进行信用卡支付?

简单的答案是肯定的,我相信是的,但除此之外还要视情况而定。

您可以为各种键和其他与第三方服务相关的值设置环境变量( http://docs.heroku.com/config-vars ),或者只是签入并部署它们。

如果您使用托管支付服务授权.net,并转发到他们的站点,您自己不需要ssl。如果您将托管提交信用卡号码和个人信息的表单,请将此转发给授权.net通过服务器上的API,您需要为heroku设置ssl( http://docs.heroku.com/ssl )这样你的表格就安全了。

现在,通过信用卡接受付款并把它传递出去是一回事,保存信用卡号码和其他私人信息是另一回事。不需要指出各种安全标准文档(即PCI DSS在此应用),我只想说,除非您必须这样做,否则不要存储抄送号码和相关的个人信息,只需转发到网关并确保您没有记录这些字段( http://guides.rubyonrails.org/security.html#logging ). 如果您确实需要存储信用卡数据,我认为您需要对数据库和服务器进行更多的控制,以达到法规遵从性,而且我不知道像AWS或heroku这样的通用云主机,您可以使用它并做到这一点(也许其他用户会纠正我)。使用支付网关,如授权.net但是,我可以带你去那里。

我还将指出,不同的州现在都有关于存储敏感数据的法律(比如MA,我住的地方),所以还有另一个避免这样做的原因,除非它对您的商业模式至关重要。

有关PCI合规性的一些过时但很好的一般性讨论,请看这里: http://broadcast.oreilly.com/2009/02/pci-in-the-cloud.html