Pro javascriptové platební brány, při kterých zákazník nemusí opustit eshop, je od ledna 2015 nutná složitější certifikace

15. 5. 2015 20:09:54

Accepting payments is getting harder — Medium

Up until January 2015, if you were a Level 3 using a third party service you needed to fill out and comply with SAQ A. SAQ A consists basically of 13 questions, the sum of which boils down to “Is the data stored securely?”, and if your third party service is doing its job the answer is simply Yes.

Now the new standard introduces SAQ A-EP, this extends the assessment questionnaire and compliance requirements to 139 questions. Many of these new requirements will directly affect the way you can run your business and the level of overhead you will incur.

The worst offenders are the requirements that some businesses simply cannot comply with unless they have some serious cash laying around. Examples of this are

> Quarterly external vulnerability scans must be performed by an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).

and

> Is external penetration testing performed per the defined methodology, at least annually, and after any significant infrastructure or application changes to the environment (such as an operating system upgrade, a sub-network added to the environment, or an added web server)?

Prý je tam mezera, díky které je možné používat platební brány přes iFrame, ale ta může být kdykoliv zalátovaná.

Nevíte, jak je na tom v tomto ohledu nedávno ohlášená inline platební brána od Gopay?

15. 5. 2015 20:09:54

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113362

node

(5 hodnocení)

15. 5. 2015 21:21:06

V dnesnej dobe je zakaznik vzdy presmerovany na stranky platobnej brany, cize nejak nevidim dovod na paniku. Vlastne platobne brany, kde zakaznik neopusta eshop, maju iba tie najvecsie obchody a tie si PCI DSS certifikaciu vedia ustriehnut.

15. 5. 2015 21:21:06

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113361

Jamira40

(4 hodnocení)

15. 5. 2015 21:31:49

Braintree to rieši cez iframe momentálne čo som spozoroval a ak chce mať niekto platbu priamo na webe tak PCI DSS. Lepší WAF a testom prejdete

Edit:

Inač braintree Vam nespravi ucet pokial oni neotestuju Vasu integraciu a neprejdete cez ich prisne podmienky.

15. 5. 2015 21:31:49

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113360

Petr Soukup

(5 hodnocení)

15. 5. 2015 23:04:09

Situace v ČR (vezmu-li to jen ze strany https):

Česká spořitelna již vyžaduje https na webu obchodníka. Přestože se zadává karta po přesměrování na bránu (která je pod https), tak je to k ničemu, dokud není i (celý!) obchod chráněn. Jinak je hračka podvrhnout odkaz na bránu bránu a oběť pak zadává číslo karty na úplně jiném webu. Jedinou kontrolou je hlídat si název firmy v řádku prohlížeče, ale některé to bohužel skrývají.

GoPay nedávno zavedlo inline bránu. Kartu sice zadáváte přímo v obchodě, ale zadáváte ji do skriptu GoPay, který ji pak přes https posílá k sobě.

Problém je, že to mají naprosto tragicky zabezpečené a s minimálním úsilím odesílanou kartu může útočník odchytit.

Kromě této chyby navíc ani nevyžadují od obchodu https, takže je stejný problém jako výše u ČS - s tím prý neplánují nic dělat.

EDIT: GoPay konečně odstranilo ty nejzásadnější bezpečnostní díry, ale pokud nemá eshop https, tak je poměrně snadné ukrást kartu podobným způsobem jako tady: https://www.souki.cz/jak-jde-na-alza-cz-nakoupit-za-cizi-penize

15. 5. 2015 23:04:09

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113359

Martin Schlemmer

(36 hodnocení)

16. 5. 2015 10:01:55

Node, tohle je o platebních bránách, které jsou přes JS integrované přímo do stránek obchodníka a zákazník jeho stránky neopouští.

Introducing Braintree.js

https://stripe.com/docs/stripe.js

16. 5. 2015 10:01:55

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113358

HonzaD

18. 5. 2015 07:33:08

Potvrzuji obodobný problém i u Paymill (řekl bych, evropská obdoba Stripe). Nicméně podle jejich webu by ještě ve 2.čtvrtletí 2015 mělo být k dispozici nějaké řešení PCI DSS compliant tak aby se SAQ A-EP vyplňovat nemusel a postačil SAQ A. Naštěstí u nás platby kartou činí zanedbatelné procento, takže ve hře je i varianta, že to utneme úplně.

18. 5. 2015 07:33:08

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113357

Pro odpověď se přihlašte.

Přihlásit

Prodej Více

Vícestránkový web (služby: přeprava seniorů) a doména PomocnikNaCesty.cz

5 000 Kč

0 příhozů

❤️ Youtuberi.tv – Automatizovaný web s Youtubery s historií z roku 2014 ❤️

19 000 Kč

0 příhozů

Prémiová doména skateboarding.cz

100 000 Kč

0 příhozů

Prodej domény www.hovna.online

100 000 Kč

0 příhozů

Prodej domény www.podlaha.online

150 000 Kč

0 příhozů

Poptávky Více

SHOPTET – nastavené před spuštěním

Hledáme full-stack webového programátora za skvělé finanční ohodnocení

Úprava modulu zásilkovny v našem eshopu

Heureka – ověřeno zákazníky – implementace

Úprava desktop aplikace v DELPHI

Pracovní nabídky Více

Hledáme pečlivého testera

Brno, Práce z domu, Praha

ADMINISTRÁTOR WEBU – FULL REMOTE

Práce z domu

Administrátor webů – online hry a sázení

Práce z domu

Nabídky Více

Motion Design & Video Postprodukce – Jan Kopecký | Animace, Střih, VFX

David Kolman (www.super-weby.cz) – Tvorba webových stránek

🎯 Web do 4 dnů? Bez keců a komplikací – připraven začít hned

ŠÉFREDAKTORKA.CZ – SEO copywriting a obsahový marketing na míru

✅ Komplexní www řešení: Vývoj webovek, AI automatizace a PPC pod jednou střechou 🧩