Protezione di un sito di e-commerce

Naviga le tue risposte
8

Sto costruendo un sito di e-commerce personalizzato e l'utente inserirà i dettagli della sua carta di credito sul sito anziché essere indirizzato al sito del gateway di pagamento.

Sono confuso su quali siano i passaggi critici che devo prendere per proteggere la transazione con la carta di credito.

I gateway di pagamento stanno ovviamente cercando di vendere certificazioni SSL, ma la mia comprensione è che lo scopo principale di questi è quello di fornire l'autenticazione e non la crittografia dei dettagli della carta di credito. / Quali misure devo seguire per garantire che i dati della carta di credito del cliente (e altre informazioni trasmesse via XML al gateway di pagamento) siano sicuri?

Grazie

    
posta AviD 19.12.2010 - 06:32
fonte

3 risposte

9

@Jeremy, la prima cosa che devi fare è leggere PCI-DSS .
Questo dovrebbe fornire un'ottima checklist per principianti. Inoltre, non hai una scelta in merito, se vuoi accettare carte di credito che devi rispettare con PCI.

In effetti, è meglio che NON accetti le carte di credito e che altri servizi lo facciano per te: Paypal, gateway di pagamento, qualsiasi cosa. Dopo aver esaminato il PCI, probabilmente sarai d'accordo con me ...

Ecco alcuni punti salienti, FAR da completare:

  • Proteggi tutte le comunicazioni, utilizzando SSL / TLS con i certificati, inclusi entrambi crittografia e autenticazione (del server)
  • Autentica tutti gli utenti (un sacco di lavoro sulla politica delle password e simili)
  • Controlla l'accesso all'applicazione, ai server e al database
  • Non memorizzare mai i dettagli della carta di credito, solo PAN crittografati
  • Non memorizzare mai dati di traccia, CVV ecc. AT ALL
  • Proteggi il tuo sito in modo che non sia facilmente infrangibile
  • Monitoraggio, politiche, ecc. ecc. e molto altro ...
risposta data 19.12.2010 - 07:40
fonte
6

Per aggiungere le risposte già fornite, se hai intenzione di elaborare i dettagli della carta di credito, vale la pena esaminare il OWASP Top 10 e assicurandoti di tenere conto di tutti i rischi presenti (dimostrando che potrebbe essere utile anche per la tua conformità PCI).

Per ulteriori informazioni approfondite su questo aspetto, puoi consultare anche lo OWASP Development Guida.

FWIW Sono d'accordo con @AviD che se riesci a evitare di elaborare le informazioni della carta di credito, ti semplificheranno la vita da una conformità e probabilmente da una prospettiva di sicurezza.

    
risposta data 19.12.2010 - 20:57
fonte
1

Se stai costruendo un sito di e-commerce, allora dovresti capire quale responsabilità devi gestire. A questo punto suggerirei di eseguire audit di sicurezza e pentest (entrambi non sono uguali). Certo, non dovresti affidarti solo alle soluzioni e ai suggerimenti dei provider di sicurezza - che quello che sto raccomandando è il post-controllo.

@AviD ha menzionato PCI-DSS, qual è la chiave per l'integrità dei dati degli utenti e la soluzione di sicurezza. Tuttavia, molti sviluppatori non riescono a soddisfare tutti i requisiti standard. Ecco perché se non sei sicuro su come iniziare, cosa fare o semplicemente vuoi sentirti sicuro, ti consiglio di rivolgermi all'azienda che effettuerà i controlli di sicurezza.

Aggiornamento: solo per chiarire - che ciò che sto raccomandando sono passi che dovrebbero essere fatti dopo che l'applicazione è stata costruita, quando pensi sei pronto per iniziare a farlo girare per un vasto pubblico. Più tardi potrebbe essere rivelato che non sei pronto per niente e richiede diversi passaggi di revisione.

    
risposta data 19.12.2010 - 13:39
fonte

Leggi altre domande sui tag

Che cosa significa "sfruttare il prezzo" su vuldb.com? comando Unix per generare stringhe casuali crittograficamente sicure