Perché le informazioni della carta di credito non vengono rubate più spesso?

61

Oggigiorno ci sono molti siti Web compromessi con informazioni di accesso rubate. In molti casi il sito web afferma che non sono stati rubati dati di carte di credito e / o dati di pagamento.

Perché è così? Quello che presumo è: che entrambi, il database che memorizza i dati di pagamento e quello che memorizza le credenziali dell'utente sono separati gli uni dagli altri. Fin qui tutto bene. Ma cosa non capisco: perché non dovrebbero essere in grado di trovare l'accesso al database che memorizza le informazioni di pagamento?

Quest'ultimo è ancora visibile / accessibile dall'esterno; questo perché gli utenti del sito Web possono anche visualizzare / aggiungere / modificare le proprie informazioni di pagamento, ad es. se vogliono usare paypal / carta di credito / IBAN. Quindi il database è ovviamente accessibile dal "mondo esterno".

    
posta tim 22.12.2016 - 10:07
fonte

2 risposte

106

PCI DSS

Il motivo principale per questo è uno sforzo decennale da parte dell'industria delle carte di pagamento per limitare l'entità di tali violazioni, richiedendo a tutti coloro che gestiscono i dati delle carte di pagamento di (a) conformarsi a una serie di pratiche di sicurezza e (solitamente) audit requisiti, o (b) interrompere la gestione dei dati delle carte di pagamento e delegarli a qualcuno in grado di gestirli meglio.

Non dovresti sottovalutare la seconda parte - mentre praticamente tutti i siti gestiscono i propri dati di account utente, la stragrande maggioranza dei siti (specialmente quelli più piccoli) che accettano pagamenti con carta di credito non emettono non crediti dati di carte in qualsiasi modo; se vogliono pagamenti ricorrenti senza chiedere il numero CC ogni volta, conservano invece informazioni "appena sufficienti" per mostrare all'utente (ad esempio un numero di carta parziale) che questa carta è "ricordata" più un token emesso dalla propria banca / gateway / qualunque che consente pagamenti aggiuntivi da questa carta allo stesso mercante - quindi questi token sono inutili per un utente malintenzionato.

Anche se non è una prova al 100% e ci sono molti, molti casi in cui PCI DSS viene palesemente violato, significa una significativa riduzione del numero di aziende vulnerabili.

    
risposta data 22.12.2016 - 15:14
fonte
10

In caso di violazione dei dati Yahoo di recente divulgazione in cui sono state rubate le informazioni sull'account utente di 1 miliardo, è emerso che nessuna informazione sulla carta di credito è stata rubata perché era conservata in un database separato in formato crittografato.

La maggior parte delle organizzazioni dispone di metodi rigidi e solidi per archiviare le informazioni delle carte di credito, in genere in un database separato e crittografato. Questo aiuta le organizzazioni a proteggere i dati altamente sensibili da violazioni dei dati.

    
risposta data 22.12.2016 - 10:45
fonte

Leggi altre domande sui tag