Pro javascriptové platební brány, při kterých zákazník nemusí opustit eshop, je od ledna 2015 nutná složitější certifikace

15. 5. 2015 20:09:54

Accepting payments is getting harder — Medium

Up until January 2015, if you were a Level 3 using a third party service you needed to fill out and comply with SAQ A. SAQ A consists basically of 13 questions, the sum of which boils down to “Is the data stored securely?”, and if your third party service is doing its job the answer is simply Yes.

Now the new standard introduces SAQ A-EP, this extends the assessment questionnaire and compliance requirements to 139 questions. Many of these new requirements will directly affect the way you can run your business and the level of overhead you will incur.

The worst offenders are the requirements that some businesses simply cannot comply with unless they have some serious cash laying around. Examples of this are

> Quarterly external vulnerability scans must be performed by an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).

and

> Is external penetration testing performed per the defined methodology, at least annually, and after any significant infrastructure or application changes to the environment (such as an operating system upgrade, a sub-network added to the environment, or an added web server)?

Prý je tam mezera, díky které je možné používat platební brány přes iFrame, ale ta může být kdykoliv zalátovaná.

Nevíte, jak je na tom v tomto ohledu nedávno ohlášená inline platební brána od Gopay?

15. 5. 2015 20:09:54

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113362

node

(5 hodnocení)

15. 5. 2015 21:21:06

V dnesnej dobe je zakaznik vzdy presmerovany na stranky platobnej brany, cize nejak nevidim dovod na paniku. Vlastne platobne brany, kde zakaznik neopusta eshop, maju iba tie najvecsie obchody a tie si PCI DSS certifikaciu vedia ustriehnut.

15. 5. 2015 21:21:06

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113361

Jamira40

(4 hodnocení)

15. 5. 2015 21:31:49

Braintree to rieši cez iframe momentálne čo som spozoroval a ak chce mať niekto platbu priamo na webe tak PCI DSS. Lepší WAF a testom prejdete

Edit:

Inač braintree Vam nespravi ucet pokial oni neotestuju Vasu integraciu a neprejdete cez ich prisne podmienky.

15. 5. 2015 21:31:49

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113360

Petr Soukup

(5 hodnocení)

15. 5. 2015 23:04:09

Situace v ČR (vezmu-li to jen ze strany https):

Česká spořitelna již vyžaduje https na webu obchodníka. Přestože se zadává karta po přesměrování na bránu (která je pod https), tak je to k ničemu, dokud není i (celý!) obchod chráněn. Jinak je hračka podvrhnout odkaz na bránu bránu a oběť pak zadává číslo karty na úplně jiném webu. Jedinou kontrolou je hlídat si název firmy v řádku prohlížeče, ale některé to bohužel skrývají.

GoPay nedávno zavedlo inline bránu. Kartu sice zadáváte přímo v obchodě, ale zadáváte ji do skriptu GoPay, který ji pak přes https posílá k sobě.

Problém je, že to mají naprosto tragicky zabezpečené a s minimálním úsilím odesílanou kartu může útočník odchytit.

Kromě této chyby navíc ani nevyžadují od obchodu https, takže je stejný problém jako výše u ČS - s tím prý neplánují nic dělat.

EDIT: GoPay konečně odstranilo ty nejzásadnější bezpečnostní díry, ale pokud nemá eshop https, tak je poměrně snadné ukrást kartu podobným způsobem jako tady: https://www.souki.cz/jak-jde-na-alza-cz-nakoupit-za-cizi-penize

15. 5. 2015 23:04:09

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113359

Martin Schlemmer

(36 hodnocení)

16. 5. 2015 10:01:55

Node, tohle je o platebních bránách, které jsou přes JS integrované přímo do stránek obchodníka a zákazník jeho stránky neopouští.

Introducing Braintree.js

https://stripe.com/docs/stripe.js

16. 5. 2015 10:01:55

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113358

HonzaD

18. 5. 2015 07:33:08

Potvrzuji obodobný problém i u Paymill (řekl bych, evropská obdoba Stripe). Nicméně podle jejich webu by ještě ve 2.čtvrtletí 2015 mělo být k dispozici nějaké řešení PCI DSS compliant tak aby se SAQ A-EP vyplňovat nemusel a postačil SAQ A. Naštěstí u nás platby kartou činí zanedbatelné procento, takže ve hře je i varianta, že to utneme úplně.

18. 5. 2015 07:33:08

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113357

Pro odpověď se přihlašte.

Přihlásit

Prodej Více

📢 Prodej ziskového e-shopu 💰 – vysoká marže, jednoduchý provoz ⚡

13 999 Kč

0 příhozů

Hračky na druhou – projekt prodeje bazarových hraček

8 000 Kč

0 příhozů

Prodej licence Eshop systému WebCzech e-commerce PRO

10 000 Kč

0 příhozů

Online služba – cestovní agentura na TOP doméně

749 900 Kč

0 příhozů

🚀 SportInput.com – Automatizovaný sportovní web na prodej! 🏆⚽ 2000 článku

2 999 Kč

0 příhozů

Poptávky Více

Uložit fotky a poslat ve složce – dnes nebo zítra dopoledne

Německý voiceover pro reklamy

Koupím hostingovou společnost nebo startup

Nabídka investice – Automatický obchodní systém, bez rizika na startu

IT Specialista pro projekt s BTC/blockchain technologií

Pracovní nabídky Více

Backend vývojář Java/Kotlin

SAP vývojář/developer

Praha

Programátor/ka pro Yii2 framework – údržba a rozvoj aplikací

Práce z domu

Frontend / fullstack vývojář

Práce z domu, Praha

120 000 Kč

Nabídky Více

💻 Profesionální vývoj webů a webových aplikací

Sportovnivozy.cz + Rajaut.cz + Rajveteranu.cz – bannery a články

Nabízím reseller partnerství v oblasti hostingu

🔥 Špičkové informační systémy & webové aplikace na míru 🚀

Nabízím licenci ES Pohoda E1 Premium