Pro javascriptové platební brány, při kterých zákazník nemusí opustit eshop, je od ledna 2015 nutná složitější certifikace

15. 5. 2015 20:09:54

Accepting payments is getting harder — Medium

Up until January 2015, if you were a Level 3 using a third party service you needed to fill out and comply with SAQ A. SAQ A consists basically of 13 questions, the sum of which boils down to “Is the data stored securely?”, and if your third party service is doing its job the answer is simply Yes.

Now the new standard introduces SAQ A-EP, this extends the assessment questionnaire and compliance requirements to 139 questions. Many of these new requirements will directly affect the way you can run your business and the level of overhead you will incur.

The worst offenders are the requirements that some businesses simply cannot comply with unless they have some serious cash laying around. Examples of this are

> Quarterly external vulnerability scans must be performed by an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).

and

> Is external penetration testing performed per the defined methodology, at least annually, and after any significant infrastructure or application changes to the environment (such as an operating system upgrade, a sub-network added to the environment, or an added web server)?

Prý je tam mezera, díky které je možné používat platební brány přes iFrame, ale ta může být kdykoliv zalátovaná.

Nevíte, jak je na tom v tomto ohledu nedávno ohlášená inline platební brána od Gopay?

15. 5. 2015 20:09:54

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113362

node

(5 hodnocení)

15. 5. 2015 21:21:06

V dnesnej dobe je zakaznik vzdy presmerovany na stranky platobnej brany, cize nejak nevidim dovod na paniku. Vlastne platobne brany, kde zakaznik neopusta eshop, maju iba tie najvecsie obchody a tie si PCI DSS certifikaciu vedia ustriehnut.

15. 5. 2015 21:21:06

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113361

Jamira40

(4 hodnocení)

15. 5. 2015 21:31:49

Braintree to rieši cez iframe momentálne čo som spozoroval a ak chce mať niekto platbu priamo na webe tak PCI DSS. Lepší WAF a testom prejdete

Edit:

Inač braintree Vam nespravi ucet pokial oni neotestuju Vasu integraciu a neprejdete cez ich prisne podmienky.

15. 5. 2015 21:31:49

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113360

Petr Soukup

(5 hodnocení)

15. 5. 2015 23:04:09

Situace v ČR (vezmu-li to jen ze strany https):

Česká spořitelna již vyžaduje https na webu obchodníka. Přestože se zadává karta po přesměrování na bránu (která je pod https), tak je to k ničemu, dokud není i (celý!) obchod chráněn. Jinak je hračka podvrhnout odkaz na bránu bránu a oběť pak zadává číslo karty na úplně jiném webu. Jedinou kontrolou je hlídat si název firmy v řádku prohlížeče, ale některé to bohužel skrývají.

GoPay nedávno zavedlo inline bránu. Kartu sice zadáváte přímo v obchodě, ale zadáváte ji do skriptu GoPay, který ji pak přes https posílá k sobě.

Problém je, že to mají naprosto tragicky zabezpečené a s minimálním úsilím odesílanou kartu může útočník odchytit.

Kromě této chyby navíc ani nevyžadují od obchodu https, takže je stejný problém jako výše u ČS - s tím prý neplánují nic dělat.

EDIT: GoPay konečně odstranilo ty nejzásadnější bezpečnostní díry, ale pokud nemá eshop https, tak je poměrně snadné ukrást kartu podobným způsobem jako tady: https://www.souki.cz/jak-jde-na-alza-cz-nakoupit-za-cizi-penize

15. 5. 2015 23:04:09

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113359

Martin Schlemmer

(36 hodnocení)

16. 5. 2015 10:01:55

Node, tohle je o platebních bránách, které jsou přes JS integrované přímo do stránek obchodníka a zákazník jeho stránky neopouští.

Introducing Braintree.js

https://stripe.com/docs/stripe.js

16. 5. 2015 10:01:55

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113358

HonzaD

18. 5. 2015 07:33:08

Potvrzuji obodobný problém i u Paymill (řekl bych, evropská obdoba Stripe). Nicméně podle jejich webu by ještě ve 2.čtvrtletí 2015 mělo být k dispozici nějaké řešení PCI DSS compliant tak aby se SAQ A-EP vyplňovat nemusel a postačil SAQ A. Naštěstí u nás platby kartou činí zanedbatelné procento, takže ve hře je i varianta, že to utneme úplně.

18. 5. 2015 07:33:08

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113357

Pro odpověď se přihlašte.

Přihlásit

Prodej Více

Prodám web FVE.info – magazín o FVE, moderní, eko téma

10 000 Kč

0 příhozů

Prodej vlastní značky, eshopu, vybavení a zboží – vysoké marže, žádné reklamace – LILLYBE.CZ

50 000 Kč

0 příhozů

Prodej domény nejurok.cz

5 000 Kč

0 příhozů

Prodej domény bezdepky.cz

2 000 Kč

0 příhozů

Prodám doménu tipnahotel.cz

5 000 Kč

0 příhozů

Poptávky Více

VÝROBA A PRODEJ MOBILNÍCH DOMŮ

UI design webové aplikace

Make.com – vytvoření automatizace

návrh restaurace/bufetu

Špičkový grafik pro projekt sběratelských karet – dlouhodobá spolupráce

Pracovní nabídky Více

IT SPECIALISTA PRO MES SYSTÉMY (TÁBORSKO)

55 000 - 80 000 Kč

Desktop Support Specialist (Remote – Czech Republic – Texas)

Práce z domu

Full-stack (Next.js, Node.js) developer

Práce z domu, Praha

IT – First Level Support

Praha

Ředitel/ka odboru obchodu pro region Praha a Střední Čechy

Praha

Nabídky Více

😎 Analýza klíčových slov v AKCI! 📣📣📣

🌐 Juniorní markeťačka – Google Ads a Sklik za 290 Kč/hod

MAKUPAC: FULFILLMENT A LOGISTIKA PRO E-SHOPY

Instagram propagace (+800K CZ/SK sledujících)

⚙️ Webové stránky | Webové aplikace | OpenCart specialista | Workflow automatizace