Pro javascriptové platební brány, při kterých zákazník nemusí opustit eshop, je od ledna 2015 nutná složitější certifikace

15. 5. 2015 20:09:54

Accepting payments is getting harder — Medium

Up until January 2015, if you were a Level 3 using a third party service you needed to fill out and comply with SAQ A. SAQ A consists basically of 13 questions, the sum of which boils down to “Is the data stored securely?”, and if your third party service is doing its job the answer is simply Yes.

Now the new standard introduces SAQ A-EP, this extends the assessment questionnaire and compliance requirements to 139 questions. Many of these new requirements will directly affect the way you can run your business and the level of overhead you will incur.

The worst offenders are the requirements that some businesses simply cannot comply with unless they have some serious cash laying around. Examples of this are

> Quarterly external vulnerability scans must be performed by an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).

and

> Is external penetration testing performed per the defined methodology, at least annually, and after any significant infrastructure or application changes to the environment (such as an operating system upgrade, a sub-network added to the environment, or an added web server)?

Prý je tam mezera, díky které je možné používat platební brány přes iFrame, ale ta může být kdykoliv zalátovaná.

Nevíte, jak je na tom v tomto ohledu nedávno ohlášená inline platební brána od Gopay?

15. 5. 2015 20:09:54

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113362

node

(5 hodnocení)

15. 5. 2015 21:21:06

V dnesnej dobe je zakaznik vzdy presmerovany na stranky platobnej brany, cize nejak nevidim dovod na paniku. Vlastne platobne brany, kde zakaznik neopusta eshop, maju iba tie najvecsie obchody a tie si PCI DSS certifikaciu vedia ustriehnut.

15. 5. 2015 21:21:06

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113361

Jamira40

(4 hodnocení)

15. 5. 2015 21:31:49

Braintree to rieši cez iframe momentálne čo som spozoroval a ak chce mať niekto platbu priamo na webe tak PCI DSS. Lepší WAF a testom prejdete

Edit:

Inač braintree Vam nespravi ucet pokial oni neotestuju Vasu integraciu a neprejdete cez ich prisne podmienky.

15. 5. 2015 21:31:49

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113360

Petr Soukup

(5 hodnocení)

15. 5. 2015 23:04:09

Situace v ČR (vezmu-li to jen ze strany https):

Česká spořitelna již vyžaduje https na webu obchodníka. Přestože se zadává karta po přesměrování na bránu (která je pod https), tak je to k ničemu, dokud není i (celý!) obchod chráněn. Jinak je hračka podvrhnout odkaz na bránu bránu a oběť pak zadává číslo karty na úplně jiném webu. Jedinou kontrolou je hlídat si název firmy v řádku prohlížeče, ale některé to bohužel skrývají.

GoPay nedávno zavedlo inline bránu. Kartu sice zadáváte přímo v obchodě, ale zadáváte ji do skriptu GoPay, který ji pak přes https posílá k sobě.

Problém je, že to mají naprosto tragicky zabezpečené a s minimálním úsilím odesílanou kartu může útočník odchytit.

Kromě této chyby navíc ani nevyžadují od obchodu https, takže je stejný problém jako výše u ČS - s tím prý neplánují nic dělat.

EDIT: GoPay konečně odstranilo ty nejzásadnější bezpečnostní díry, ale pokud nemá eshop https, tak je poměrně snadné ukrást kartu podobným způsobem jako tady: https://www.souki.cz/jak-jde-na-alza-cz-nakoupit-za-cizi-penize

15. 5. 2015 23:04:09

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113359

Martin Schlemmer

(36 hodnocení)

16. 5. 2015 10:01:55

Node, tohle je o platebních bránách, které jsou přes JS integrované přímo do stránek obchodníka a zákazník jeho stránky neopouští.

Introducing Braintree.js

https://stripe.com/docs/stripe.js

16. 5. 2015 10:01:55

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113358

HonzaD

18. 5. 2015 07:33:08

Potvrzuji obodobný problém i u Paymill (řekl bych, evropská obdoba Stripe). Nicméně podle jejich webu by ještě ve 2.čtvrtletí 2015 mělo být k dispozici nějaké řešení PCI DSS compliant tak aby se SAQ A-EP vyplňovat nemusel a postačil SAQ A. Naštěstí u nás platby kartou činí zanedbatelné procento, takže ve hře je i varianta, že to utneme úplně.

18. 5. 2015 07:33:08

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113357

Pro odpověď se přihlašte.

Přihlásit

Prodej Více

warszawa.cz PA47 DA 30

1 499 Kč

0 příhozů

Predám e-shop SK/CZ „eskalepky.sk“ – autodoplnky / bez konkurencie

2 400 €

0 příhozů

superherba.cz

10 000 Kč

0 příhozů

Prodej hotového funnelu na digitální produkt

7 000 Kč

0 příhozů

Kompletně připravený e-shop tvujsklad.cz + skladové zásoby, vybavení a předplacené služby

10 000 Kč

0 příhozů

Poptávky Více

Migrácie WP a nastavenie AI asistentov (zapier, make, makro v exceli a pod.)

Hledáme administrativní podporu – komunikace & vyhledávání kontaktů 🚀

Rozpohybování obrázku – loop video

Hledám Python/Node.js vývojáře na scraping a backend

Programátor na projekt s Google Apps Script + BigQuery

Pracovní nabídky Více

Full-stack developer Python/React pro významný zahraniční projekt

Práce z domu, Praha

Správce e-shopu za % z prodeje

Copywriter/ka pro srovnávací weby – FULL REMOTE

Práce z domu

Nabídky Více

programátor – PHP

✅🔥 VIP UX/UI designér 🔥✅ – *SENIOR* Tvorba designu webů, portálů, e-shopů a aplikací na míru. ⭐️

Reklama na místě které vidí měsíčně desítky milionů lidí? Pomůžu vám dostat se mezi lidi!

⚙️ Webové stránky | Webové aplikace | OpenCart specialista | Workflow automatizace

🖐️🎬 Dotyková video galéria pre Shoptet e-shopy 🟧🟩🟦 Ukážte produkty v akcii