Quali sono i passi da compiere per trasmettere in modo sicuro le informazioni della carta di credito tramite un modulo web standard?

6

Ho un cliente che vuole essere in grado di avere nuovi clienti che si iscrivono con loro online affinché un servizio di consegna sia in grado di inviare anche i dati della carta di credito. Una volta che le informazioni sono state ottenute, il cliente inserirà manualmente queste informazioni nel proprio sistema POS nel proprio negozio al dettaglio. Il cliente NON vuole offrire ai clienti la possibilità di pagare online, o memorizzare i dati della carta di credito o altro. Vogliono solo consentire al cliente di inviare le informazioni della carta tramite un modulo web standard. Quale criptaggio dovrà essere fatto per fare in modo che questo avvenga in sicurezza? (BTW ... Sto esternalizzando questo compito a un altro, ma ho bisogno di ottenere una risposta a questa domanda al più presto in modo da poter dare al mio cliente un'idea su quanto sia coinvolto.) Sto cercando di convincere il mio cliente ad usare un servizio e non impostare questo a livello locale, ma ho bisogno di sapere cosa dovrebbe accadere al fine di farlo localmente in modo che possa mostrargli i vantaggi di utilizzare un servizio.

Grazie

PS: ci sono servizi che consiglieresti? Ci sono dei servizi che consiglieresti di evitare? (Grazie a BTW per tutte le risposte apprezzo molto il tempo di tutti.)

    
posta nicole 20.02.2014 - 00:08
fonte

5 risposte

10

Non posso sottolineare abbastanza che questo è altamente "coinvolto".

  1. Dovresti essere compatibile con PCI DSS, dato che gestirai i dati delle carte. PCI DSS è la definizione di coinvolto. Inoltre, sono incerto su dove ti trovi con qualcuno che copi questi dati in un PoS, ma posso immaginare che sarebbe estremamente difficile generare un processo di reclamo che includa questo passaggio.

  2. I dati dovranno essere protetti in transito, per cui ciò significa configurare un server SSL / TLS per supportare solo cifrari, protocolli e altre impostazioni di configurazione robusti e non vulnerabili. Dovrai acquistare un certificato SSL / TLS e mantenerlo aggiornato. Inoltre, dovrai prendere in considerazione qualsiasi crittografia di trasporto al di là del server web ... ad esempio, non puoi sicuramente inviare via email questi dati al tuo copy-typer.

  3. I dati dovranno essere protetti a riposo (e dovrà essere a riposo a un certo punto se non viene passato immediatamente a un processore di pagamento separato). Ciò significa che tutti i dettagli delle carte dovranno essere crittografati utilizzando uno schema strong, molto probabilmente con forme simmetriche e asimmetriche. Le chiavi dovranno essere gestite in modo sicuro per impedire l'accesso ai dati.

  4. È necessario stabilire un CDE (Card Data Environment) sicuro, una rete altamente protetta e separata da altre aree aziendali. L'accesso a questo dovrebbe essere strettamente controllato.

  5. Sia l'applicazione web (modulo) che l'infrastruttura di rete devono essere regolarmente testati / revisionati per le vulnerabilità della sicurezza, che devono quindi essere gestite e risolte.

Questo in realtà raschia solo la superficie. Prova i requisiti PCI DSS per una comprensione completa dei passaggi necessari per la gestione sicura dei dati delle carte.

Sarebbe molto più semplice ed economico, soprattutto per una piccola operazione, utilizzare un servizio di terze parti che hanno già subito questi processi. Per un'estrema facilità d'uso, un servizio pronto all'uso come PayPal potrebbe essere usato. Se sei interessato a utilizzare il tuo modulo, considera un servizio come Stripe che può gestire il back-end e la sicurezza. Questi servizi sono già conformi PCI.

    
risposta data 20.02.2014 - 01:39
fonte
7

OK ... supponiamo per un secondo che si possa andare avanti con il piano in cui:

  • Il cliente del cliente inserisce le informazioni CC (CC #, ExpDate, Address, Name, CVV #) nel tuo sito
  • Il tuo cliente recupera in seguito questi dati e li inserisce manualmente in un terminale POS

Oltre ad essere orribilmente inefficiente, ecco i BSD (Big Scary Details):

  • Il server sta gestendo e memorizzando i dati della carta di credito. Ciò significa che ora è "in-scope" per quanto riguarda gli standard PCI go. A proposito, i dati CVV non possono MAI essere archiviati in qualsiasi momento ... ovunque
  • Questi dati devono essere crittografati sia in transito che a riposo sul server
  • Il tuo server deve sottoporsi a periodiche scansioni di vulnerabilità da parte di un servizio approvato da PCI
  • La tua azienda deve disporre di controlli specifici per la gestione dei dati CC
  • Ci sono un numero di requisiti aggiuntivi ... vedi la documentazione di seguito

Inoltre, ora il tuo cliente può vedere se le carte vengono rifiutate e deve capire come gestire tali situazioni ... Molto meglio quando la decisione di approvazione / rifiuto viene presa al momento dell'acquisto.

Il materiale sopra riportato è piuttosto generico e presumo che si tratti di una piccola impresa, quindi mi piacerebbe andare su qui per ottenere ulteriori informazioni . Probabilmente rientreranno nella categoria D qui , il che significa che dovrai lavorare con SAQ D v2.0 qui .

Se il tuo cliente non si sporca dopo aver consegnato il documento PCI SAQ-D ... RUN.

    
risposta data 20.02.2014 - 01:34
fonte
0

Dovresti essere pienamente conforme allo standard PCI-DSS, il che sta per costare ordini di grandezza in più rispetto al costo di tutto il progetto. Sarebbero in contrasto con il loro accordo di servizi commerciali di prendere i dati elettronicamente senza la piena conformità PCI-DSS che richiede un elenco molto lungo di requisiti da soddisfare. È semplicemente troppo complesso per il progetto di cui stai parlando.

Solo per i principianti dovresti avere una rete segmentata completa che isola il server dei dettagli di pagamento da qualsiasi altra cosa e che dovrebbe scaricare, in un modo per accedere a una rete isolata per l'archiviazione e l'utilizzo delle informazioni della carta di credito. Tale informazione dovrebbe quindi essere tirata su e inserita manualmente per l'elaborazione. Stiamo parlando di mesi di sviluppo a tempo pieno per uno sviluppatore esperto che sa quello che stanno facendo, quindi molto probabilmente stai parlando di un budget di decine di migliaia di dollari se si tratta di un concerto di consulenza, solo per il modulo di pagamento, non per menziona i costi hardware e di rete dell'hardware necessario.

Per loro sarà molto più economico utilizzare un gateway commerciante per fornire l'elaborazione della carta di credito, per non parlare più veloce ed efficiente. In tal caso, possono inoltrare i dettagli della transazione a un fornitore di servizi di pagamento e solo ottenere una conferma di ricevuta per il pagamento. Le tariffe non saranno sostanzialmente peggiori delle tariffe che pagherebbero comunque per la transazione non presente.

    
risposta data 20.02.2014 - 05:12
fonte
0

Conosco un piccolo venditore che ha iniziato a prendere gli ordini con carta di credito per telefono nel 1991. I numeri sono stati inseriti manualmente in un PC con software POS che compone un numero 800 della rete di carte via modem, ed è ancora utilizzato fino ad oggi. Nel 1996 hanno creato un sito Web e hanno iniziato a catturare i numeri delle carte sui moduli d'ordine con un semplice HTTP, che il server salva semplicemente in un file di testo. Questi ordini vengono copiati manualmente e inseriti nel POS. Nel 2011 un dipendente ha scaricato e installato un minuscolo server SSL su un blocco note da $ 275, in modo che avessero qualcosa da offrire nella pagina del modulo d'ordine (perché i clienti continuavano a chiedere l'HTTPS per "proteggere" i loro ordini), altrimenti le loro operazioni restano stesso. Fanno solo una manciata di ordini con carta di credito al giorno, e non usano la rete per l'elaborazione delle carte. PCI non li infastidisce, e non si preoccupano di PCI, e i loro costi di sviluppo sono stati pari a zero, ma sono coscienziosi dei loro dati e mi fiderei di loro con la mia carta molto più del tipico ristorante o gas stazione.

    
risposta data 20.02.2014 - 23:26
fonte
-1

Tutte le risposte fino ad ora stanno esaminando l'immagine più grande di ciò che potrebbe essere fatto con i dati dopo la trasmissione sicura di un numero di carta di credito al cliente, quindi quelle risposte si concentrano su tutti i dettagli spaventosi sulla sicurezza e conformità successive. Tuttavia, per rispondere alla domanda che hai posto, che richiede solo la trasmissione sicura da un modulo web: ti occorrerebbe un server SSL (o servizio), che è ampiamente disponibile, e in forma minima può essere solo una manciata di linee di codice in esecuzione su un telefono o un blocco note. Questo protegge il numero di carta che sta arrivando dal modulo web alla tua macchina (proprio come mettere il pollice sul numero della tua carta per proteggerlo dall'essere visto da tutti gli altri nel ristorante quando porti la tua carta a un cameriere), ma una volta che la carta il numero raggiunge il tuo server la trasmissione (e la protezione SSL) sono finiti e il server (o l'operatore) può fare qualsiasi cosa con quel numero (proprio come il cameriere può fare qualsiasi cosa con la tua carta una volta che l'hai consegnata).

    
risposta data 20.02.2014 - 05:47
fonte

Leggi altre domande sui tag