una tiene tarjeta reparar reconocida que programa porque para movil micro menos formatear desde deja dañada como celular capacidad design credit-card pci-dss

design - tiene - Almacenamiento de tarjeta de crédito en línea?



reparar tarjeta sd dañada sin formatear (6)

Estoy a punto de heredar y trabajar en un sitio web de venta minorista de pequeñas empresas que está muy mal diseñado. Entre otras cosas, la mayor preocupación es con el procesamiento actual de la tarjeta de crédito.

Actualmente, el propietario recupera la información de la tarjeta de crédito (nombre, número, CVV2 y fecha de vencimiento) de un formulario de pedido en línea y guarda toda esa información en texto sin formato dentro de una base de datos MySQL. A continuación, se envía una notificación a su correo electrónico que alguien ha ordenado. A partir de entonces, tiene una página administrativa de respaldo que visualiza los pedidos y la información de la tarjeta de crédito que usa para procesar fuera de línea con su propio comerciante.

Después de recuperar la información de la página back-end, el número de tarjeta de crédito y CVV2 se eliminan inmediatamente (se llama automáticamente al script PHP). La información también se elimina si no se accede a esa página en 7 días. Por lo tanto, existe la posibilidad de que toda la información esté en la base de datos en texto sin formato durante siete días antes del procesamiento de la transacción.

Esto no parece un buen diseño y puede ser ilegal. Si es ilegal, voy a tener que decirle esto, porque todavía no se da cuenta.

Mi pregunta: además de ser inseguro, ¿es esto ilegal o una violación de los términos de uso (PCI DSS)? Y, si es así, ¿cómo puedo demostrarlo a él para que él me permita cambiar sus formas (obviamente, no quiero poner mis manos en algo que es ilegal. Además, a veces la redacción de los términos de uso puede parece subjetivo)? Finalmente, ¿cuáles son las mejores opciones para solucionar este problema (comerciante en línea de terceros, que cumple PCI DSS u otra cosa)?

Definitivamente es una violación de las reglas PCI. Sin embargo, no debería ser tan difícil agregar cifrado a los datos almacenados, especialmente si es raro que un humano tenga que mirarlo.

Después de haber trabajado para una empresa de procesamiento de transacciones de tarjetas de crédito de un tercero, lo recomiendo encarecidamente si su sistema es tan malo. Sin embargo, aún necesitará encriptar esa información, o no almacenarla en absoluto después de que se envíe al TPP. El TPP realmente funciona para el comerciante, por lo que pueden ayudarlo con cualquier problema de cumplimiento y ayudarle a obtener las mejores tasas de intercambio.

El uso de una puerta de enlace de procesamiento de tarjetas de crédito obvia la necesidad de almacenar información de crédito en el servidor del cliente: la información POST''c cc se transfiere a la pasarela de procesamiento que devuelve una identificación de transacción que su cliente puede usar para el mantenimiento de registros.

Las compañías como Authorize.net, LinkPoint Central proporcionan una pasarela de pago con tarjeta de crédito, incluso PayPal se está metiendo en el juego. Todas las principales puertas de enlace tienen un código existente para integrar un carrito de compras con la mayoría de las plataformas de programación web populares (.NET, PHP, Java, etc.). Además, la mayoría de los principales carritos de compras admiten las principales puertas de enlace de fábrica o, como mínimo, tienen módulos instalables para la mayoría de las puertas de enlace.

Por lo tanto, su cliente debe obtener una configuración de puerta de enlace de pago de Internet y debe integrar su código existente con la puerta de enlace.

Eso es una violación de PCI DSS. No solo está almacenando información que no debe almacenar (CVV), sino que no cifra el número de la tarjeta de crédito (también es una violación).

Peor aún, está violando las pautas de Visa y MasterCard, que establecen que todas las transacciones en línea deben procesarse con un dispositivo o software compatible con ECI, y que las órdenes de Internet deben tener una cuenta mercantil separada. Su terminal de tarjeta de crédito definitivamente no es compatible con ECI ya que ninguno lo es. Deben obtener una nueva cuenta mercantil y usar una pasarela de pago como Authorize.Net para procesar estos pedidos.

Editar

Como dudo que el propietario del sitio web realmente se moleste en obtener una nueva cuenta mercantil o implementar una pasarela de pago, lo mejor es usar un cifrado bidireccional para almacenar esta información. Luego, asegúrese de que la página que utilizan para recuperar la información de la tarjeta de crédito esté encriptada (certificado SSL) para que la información esté segura de extremo a extremo.

Recomiendo obtener una cuenta de comerciante en Internet y usar una pasarela de pago como Authorize.Net. Además de ser compatible con PCI e ECI y el camino más inteligente, la posibilidad de que la empresa no solo pierda su cuenta de comerciante, sino que quede en la lista negra y tenga prohibida volver a tener una verdadera cuenta de comerciante, es muy alta. Todo lo que se necesita es una devolución de cargo para su proveedor de cuenta mercantil para darse cuenta de lo que están haciendo y para que el problema comience.

Esta es una violación mayor de las reglas PCI. Puede obtener los documentos aquí: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml Sería inteligente ir a un tercero como Google Checkout o algo similar. Volverse compatible con PCI es un gran dolor de cabeza e implica revisiones anuales (que pueden evaluarse por sí mismas), que pueden incluir pruebas de penetración, etc. Si realmente lo examinó, probablemente no necesite tener acceso a la información de la tarjeta de crédito, solo el ID de transacción. No solo necesita encriptar los datos, debe tener un esquema elaborado para proteger las claves de cifrado. Esto es mucho más grande que lo que una pequeña empresa quiere conseguir. Algunos de los consejos anteriores suenan bien, pero no cumplen con la especificación PCI. Lea los documentos y rápidamente verá que es una gran empresa. Actualmente apoyo un sistema interno compatible con PCI y tuve que hacer un gran esfuerzo para cumplir con los estándares. También tuvimos que hacer una serie de cambios en la red también. Será más barato para la empresa convertir a un tercero.

Hay muchos proveedores de pago de terceros que se ocuparán de todos los problemas de seguridad y cumplimiento.

Para cualquier pequeña o mediana empresa, esta es una función que definitivamente debería subcontratarse a aquellos con experiencia.

Proteger correctamente los datos de pago es un tema complejo. Incluso las empresas muy grandes a veces tienen un gran número de tarjetas de crédito robadas de sus sistemas.

Como mínimo, estos son los pasos a considerar:

  • Asegúrese de que el formulario de pedido en línea esté usando HTTPS para capturar datos.
  • Si el DB y el servidor web son cuadros diferentes, asegúrese de que haya una ruta segura entre ellos.
  • Encripte los datos de pago en la base de datos. Referencia de MySQL .
  • Asegure un fuerte control de acceso a la página web de back-end (¿es físicamente accesible para el mundo exterior? ¿Requiere una contraseña segura? ¿Es HTTPS?)
  • Asegúrese de que no haya registros (por ejemplo, registro de depuración) que terminen escribiendo la información de pago en el sistema de archivos.