Pro javascriptové platební brány, při kterých zákazník nemusí opustit eshop, je od ledna 2015 nutná složitější certifikace

15. 5. 2015 20:09:54

Accepting payments is getting harder — Medium

Up until January 2015, if you were a Level 3 using a third party service you needed to fill out and comply with SAQ A. SAQ A consists basically of 13 questions, the sum of which boils down to “Is the data stored securely?”, and if your third party service is doing its job the answer is simply Yes.

Now the new standard introduces SAQ A-EP, this extends the assessment questionnaire and compliance requirements to 139 questions. Many of these new requirements will directly affect the way you can run your business and the level of overhead you will incur.

The worst offenders are the requirements that some businesses simply cannot comply with unless they have some serious cash laying around. Examples of this are

> Quarterly external vulnerability scans must be performed by an Approved Scanning Vendor (ASV), approved by the Payment Card Industry Security Standards Council (PCI SSC).

and

> Is external penetration testing performed per the defined methodology, at least annually, and after any significant infrastructure or application changes to the environment (such as an operating system upgrade, a sub-network added to the environment, or an added web server)?

Prý je tam mezera, díky které je možné používat platební brány přes iFrame, ale ta může být kdykoliv zalátovaná.

Nevíte, jak je na tom v tomto ohledu nedávno ohlášená inline platební brána od Gopay?

15. 5. 2015 20:09:54

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113362

node

(5 hodnocení)

15. 5. 2015 21:21:06

V dnesnej dobe je zakaznik vzdy presmerovany na stranky platobnej brany, cize nejak nevidim dovod na paniku. Vlastne platobne brany, kde zakaznik neopusta eshop, maju iba tie najvecsie obchody a tie si PCI DSS certifikaciu vedia ustriehnut.

15. 5. 2015 21:21:06

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113361

Jamira40

(4 hodnocení)

15. 5. 2015 21:31:49

Braintree to rieši cez iframe momentálne čo som spozoroval a ak chce mať niekto platbu priamo na webe tak PCI DSS. Lepší WAF a testom prejdete

Edit:

Inač braintree Vam nespravi ucet pokial oni neotestuju Vasu integraciu a neprejdete cez ich prisne podmienky.

15. 5. 2015 21:31:49

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113360

Petr Soukup

(5 hodnocení)

15. 5. 2015 23:04:09

Situace v ČR (vezmu-li to jen ze strany https):

Česká spořitelna již vyžaduje https na webu obchodníka. Přestože se zadává karta po přesměrování na bránu (která je pod https), tak je to k ničemu, dokud není i (celý!) obchod chráněn. Jinak je hračka podvrhnout odkaz na bránu bránu a oběť pak zadává číslo karty na úplně jiném webu. Jedinou kontrolou je hlídat si název firmy v řádku prohlížeče, ale některé to bohužel skrývají.

GoPay nedávno zavedlo inline bránu. Kartu sice zadáváte přímo v obchodě, ale zadáváte ji do skriptu GoPay, který ji pak přes https posílá k sobě.

Problém je, že to mají naprosto tragicky zabezpečené a s minimálním úsilím odesílanou kartu může útočník odchytit.

Kromě této chyby navíc ani nevyžadují od obchodu https, takže je stejný problém jako výše u ČS - s tím prý neplánují nic dělat.

EDIT: GoPay konečně odstranilo ty nejzásadnější bezpečnostní díry, ale pokud nemá eshop https, tak je poměrně snadné ukrást kartu podobným způsobem jako tady: https://www.souki.cz/jak-jde-na-alza-cz-nakoupit-za-cizi-penize

15. 5. 2015 23:04:09

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113359

Martin Schlemmer

(36 hodnocení)

16. 5. 2015 10:01:55

Node, tohle je o platebních bránách, které jsou přes JS integrované přímo do stránek obchodníka a zákazník jeho stránky neopouští.

Introducing Braintree.js

https://stripe.com/docs/stripe.js

16. 5. 2015 10:01:55

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113358

HonzaD

18. 5. 2015 07:33:08

Potvrzuji obodobný problém i u Paymill (řekl bych, evropská obdoba Stripe). Nicméně podle jejich webu by ještě ve 2.čtvrtletí 2015 mělo být k dispozici nějaké řešení PCI DSS compliant tak aby se SAQ A-EP vyplňovat nemusel a postačil SAQ A. Naštěstí u nás platby kartou činí zanedbatelné procento, takže ve hře je i varianta, že to utneme úplně.

18. 5. 2015 07:33:08

https://webtrh.cz/diskuse/pro-javascriptove-platebni-brany-pri-kterych-zakaznik-nemusi-opustit-eshop-je-od-ledna-2015-nutna-slozitejsi-certifikace#reply1113357

Pro odpověď se přihlašte.

Přihlásit

Prodej Více

Prodám doménu prodej-parfemy.cz

5 000 Kč

0 příhozů

Web na sběr kontaktů – keycapital.cz – doména, hosting, https, emaily, obsah

4 990 Kč

0 příhozů

🐾 Na prodej e-shop TopZverimex.cz – skvělý základ pro podnikání v oblasti chovatelských potřeb

12 000 Kč

0 příhozů

Doména platbtc.cz – ideální pro projekt o platbách Bitcoinem v Česku

5 000 Kč

0 příhozů

💸 Srovnavač půjček abpujcky.cz

30 000 Kč

0 příhozů

Poptávky Více

medior/seniro v N8N , sekundarne Make.com

Tvorba jednoduchého webu, na sběr realitních leadů.

Hledáme provizní partnery pro originální projekt zpivejaprodavej.cz – 500 až 1 000 Kč za zakázku!

HLEDÁME TELEFONISTKY – PRÁCE Z DOMOVA NEBO Z KANCELÁŘE U FRÝDKU-MÍSTKU!

Přístup k API Tipsportu

Pracovní nabídky Více

Linux Administrator

Praha

Hledáme Aplikačního specialistu / Project Support!

Práce z domu, Praha

45 000 - 50 000 Kč

Stabilní flexibilní dočasná práce na 2 roky vhodné pro Osoby samostatně výdělečně činné (OSVČ)

Brno, České Budějovice, Hradec Králové, Jihlava, Karlovy Vary, Liberec, Olomouc, Opava, Ostrava, Pardubice, Plzeň, Práce z domu, Praha, Ústí nad Labem, Zlín

25 000 - 60 000 Kč

Cloud Engineer (ITOps)

Práce z domu

L3 Technická / Aplikační podpora

Práce z domu, Praha

60 000 - 80 000 Kč

Nabídky Více

🚁 Profesionální DRONE SLUŽBY: Video, Foto

Premium 5⭐ RECENZE – 14ks měsíčně za 2 500 Kč

Nabídka překladu do slovenštiny

🤖 Vývoj a integrace AI a Machine Learning řešení

🚀PPC hodinová sazba 550 Kč/hod🚀