Zadejte hledaný výraz...

Jak ukládat platební karty?

Jan Kuthan
verified
rating uzivatele
(48 hodnocení)
27. 1. 2017 18:21:49
Zdravím,
zaujal mě tento článek:
Acer ukládal údaje o platebních kartách jako holý text. Hackeři jich odcizili…
Jde o to, že číslo karty, platnost a cvc kod byl uložený v DB v plaint-textu a po vytáhnutí DB tedy lehce použitelný. Ale jak to tedy má fungovat, má-li být obchod schopný kartou platit bez toho, aby uživatel něco zadával, např. alza to tak má.
Jediné co mě napadá je šifrovací funkce, samotný přístup do DB přes nějakou sql injection pak nezobrazí vše tak hezky, ale funkce pro dešifrování na serveru stále je a pokud lze tahat db, je velká šance že se půjde dostat i k této funkci....
27. 1. 2017 18:21:49
https://webtrh.cz/diskuse/jak-ukladat-platebni-karty/#reply1255181
A neposkytuje něco jako GoPay možnost uložení kreditní karty u nich na serveru, s možností zpětného použití?
27. 1. 2017 18:25:59
https://webtrh.cz/diskuse/jak-ukladat-platebni-karty/#reply1255180
Jan Kuthan
verified
rating uzivatele
(48 hodnocení)
27. 1. 2017 18:27:22
Napsal filipsedivy;1357926
A neposkytuje něco jako GoPay možnost uložení kreditní karty u nich na serveru, s možností zpětného použití?
Je to možné, resp. u GoPay jsem se při implementaci setkal zatím jen s tím, že zákazník potvrdil opakované čerpání v daném limitu. Ale to situaci neřeší, jen ji to přemisťuje z mého webu na GoPay :) Jak to měl Acer udělat správně?
Už jsem nad tím přemýšlel v minulosti a proto nikde nemám kartu uloženou s výjimkou PayPalu, který je pro mě v tomhle asi největší autoritou...
27. 1. 2017 18:27:22
https://webtrh.cz/diskuse/jak-ukladat-platebni-karty/#reply1255179
weerwolf
verified
rating uzivatele
27. 1. 2017 18:28:58
Podívej na PCI DSS standard, tam je to všechno krásně popsané co jak a kde můžeš ukládat.
27. 1. 2017 18:28:58
https://webtrh.cz/diskuse/jak-ukladat-platebni-karty/#reply1255178
Petr Soukup
verified
rating uzivatele
(5 hodnocení)
27. 1. 2017 19:51:17
Tohle je běžné spíš na západě z historických důvodů. V Evropě to funguje tak (třeba u Alzy), že má uložený nějaký token platební brány, díky kterému může z karty strhávat peníze. Nemá ale přímo číslo karty, takže s ní nemůže nakoupit v jiném eshopu.
27. 1. 2017 19:51:17
https://webtrh.cz/diskuse/jak-ukladat-platebni-karty/#reply1255177
TomasX
verified
rating uzivatele
(4 hodnocení)
27. 1. 2017 22:02:25
Nejde jen o technologii ukládání podobných citlivých údajů, hrají v tom velkou roli i procesy. Obecně je nutné zajistit:
- uložení dat - šifrování, pro každou hodnotu vlastní klíč, klíč v oddělené databázi a žádost pro vydání klíče má omezenou platnost atd.
- fyzické uložení - šifrované disky, přepis nebo skartace porouchaných disků, kontrolovaný přístup k HW, pouze pověřené osoby, vedený monitoring přístup atd.
- přístup k datům - hromadný vs. jednorázový, u jednorázové token s omezenou platnosti, validace přístup v předsystému, kompletní audit i na úroveň FS a vč. přístupu k logům. U hromadné zase naopak oddělenou síť, dedikované linky nebo vlan, šifrovaný přenos atd.
- vývoj - oddělené vývojové prostředí a produkční, nikdo nemá přístup zároveň na obě prostředí, audit a kontrola kódu
- procesy - jasná struktura práv, nutnost schvalování více osobami, kontrola a ověřování změn atd.
- dohled a monitoring
- zálohování a havárie
... a celá řada dalších "drobností", to jen pro představu.
V tomhle světě se hraje na standardy a jejich dodržování, nejen technologií, ale hlavně procesů a provozu, karty přímo řeší již zmíněný PCI DSS, ale vesměs každý obor a stát má svoje normy a pravidla, jsou ale velice podobná.
Dříve jsem byl také zaměřený primárně na technologie a šifrovací algoritmy a dlouho mi trvalo než jsem zjistil, že to vlastně není ta nejdůležitější věc. Obvykle s projekty musíme nějakými těmi tanečky s security a auditem projít, buď je ta lepší varianta, že dopředu víme certifikaci, kterou musíme splnit nebo je ta horší, že se to dozvíme v průběhu projektu, prakticky je vše ale hodně podobné a dokážeme dopředu určitý odhad udělat.
Souki: i u nás, zejména hotely donedávna rádi faxovali a nechávali si diktovat karty po telefonu a pak je sami zadávali do terminálů, pár takových systémů mám na svědomí. V USA zase hodně jeli a jedou šeky, v UK bez karty si neskočím skoro ani na metro.
27. 1. 2017 22:02:25
https://webtrh.cz/diskuse/jak-ukladat-platebni-karty/#reply1255176
Pro odpověď se přihlašte.
Přihlásit