Sembra che molti luoghi spendano un sacco di tempo e denaro per proteggere il loro sito per le transazioni con carta di credito. Tuttavia, ci sono ancora milioni di numeri di carte di credito rubate. La frode è un grande business e facile da fare online. In Europa, le carte di credito sono state quasi completamente sostituite con sistemi di chip e pin che proteggono dal furto di carte di credito al terminal e dalla perdita di carte fisiche. Questo sta iniziando a farsi strada anche negli Stati Uniti e in Canada. Tuttavia, il posto più facile per rubare le carte di credito sembra essere stato Internet da un po 'di tempo.
Quindi, stavo pensando, sarebbe possibile creare un protocollo sicuro per effettuare transazioni online con carta di credito in modo che i dati sensibili non debbano essere inviati al server web? È persino possibile migrare verso un sistema del genere?
Quello che sto pensando è su queste linee:
- Il commerciante contatta il proprio fornitore di servizi di elaborazione e ottiene il codice transazione.
- Il commerciante risponde con il codice della transazione, l'importo / riepilogo e le informazioni sul processore tramite le intestazioni HTTP, con il contenuto da ripiegare se il client non lo supporta
- Il Cliente invia una richiesta alla propria banca emittente con le informazioni di autenticazione, trasmettendo le stesse informazioni inviate dal server.
- La banca del cliente controlla i fondi e contatta il fornitore di servizi di elaborazione del commerciante, accetta le informazioni e ottiene un codice di approvazione se la transazione è buona
- La banca risponde al cliente con dettagli pass / fail
- Se la transazione non riesce, il client può provare un altro account o rispondere al server con un errore
- In caso di successo, il client risponde al server con il codice di approvazione
- Il commerciante conferma il codice di approvazione con il proprio fornitore di servizi di elaborazione e acquisisce i fondi quando è pronto
In questo schema, il cliente e il commerciante non scambiano mai informazioni sensibili. Quindi devi attaccare le banche, la macchina del cliente o sostituire le credenziali sul server, quindi tutto va al tuo account personale (che è rischioso).
Immagino che non sia tanto una domanda, perché è alla ricerca di idee su come migliorare le cose.