Requisiti per i gateway di pagamento online

5

Ho cercato un gateway di pagamento online, authorize.net , e in particolare il loro metodo di pubblicazione diretta. Questo metodo mi permetterebbe di creare un modulo sul mio server, quindi inviare i parametri del post direttamente al loro server per l'elaborazione. Quindi non esci mai dal mio sito come cliente, ma il mio server può vedere solo la risposta, non le informazioni di pagamento iniziali.

Una domanda a cui ho pensato è la conformità PCI. Ho letto nei commenti di questo blog authorize.net . Esiste una discussione sull'opportunità o meno che il server che ha il modulo debba essere compatibile con PCI. Alcuni dicono di sì, perché il modulo è sul tuo sito che ha il tuo URL e ci sono le informazioni della carta di credito. Altri dicono di no perché il modulo viene inviato direttamente a authorize.net e le informazioni della carta di credito non arrivano nemmeno sul server del commerciante.

Ho letto in alcuni punti sul loro sito che Direct Post Method "semplificherà la conformità PCI del commerciante" o "allevierà alcune delle preoccupazioni sulla sicurezza". In che modo viene semplificata la conformità PCI? Quindi la mia domanda è: il mio sito deve essere compatibile con PCI e, in tal caso, come può semplificarlo?

Una domanda correlata è la chiave della transazione. Authorize.net dice di conservare la chiave in modo sicuro. In che modo le chiavi sono archiviate in modo sicuro su un server? (senza un HSM) Questa chiave è considerata parte di PCI?

    
posta Ryan 01.05.2013 - 22:07
fonte

3 risposte

5

Se i server non memorizzano, elaborano o trasmettono i dati di titolari di carta in qualsiasi momento e in qualsiasi momento, i tuoi sistemi non sono idonei per la conformità PCI e hai effettivamente esternalizzato la gestione di tali dati a authorize.net - questo significa che PCI è semplificato poiché hai una portata ridotta e completarebbe un questionario di valutazione del Sé meno oneroso (SAQ). Come commerciante devi essere conforme, piuttosto che il tuo sito deve essere conforme. Il modo in cui gestisci i dati dei titolari di carta determina quali SAQ completi: se hai esternalizzato la gestione dei dati del titolare della carta, completi SAQ A che è piuttosto semplice!

Visa e MasterCard hanno linee guida su come proteggere le applicazioni web quando la gestione delle transazioni è stata esternalizzata, come l'utilizzo di pagine di pagamento ospitate. La preoccupazione è che l'applicazione possa essere manipolata e la trasmissione dei dati del titolare della carta sia reindirizzata (o copiata) a terzi.

I requisiti includono ciclo di sviluppo sicuro, scansione delle vulnerabilità, registrazione e monitoraggio dell'integrità dei file.

Dovresti considerare di memorizzare la chiave della transazione separata dall'applicazione stessa, come crittografata nel database o in un archivio separato con controlli di accesso sicuri.

    
risposta data 01.05.2013 - 23:09
fonte
3

Per prima cosa, non sono un avvocato, dovresti parlare con un avvocato o uno specialista PCI piuttosto che con una persona a caso su Internet. Detto questo, la mia comprensione di Direct Post è che il client invia il PCI al server Authorize.Net. Non viene mai toccato dal tuo server, quindi non dovrebbe richiedere la conformità PCI. PCI-DSS richiede solo che i sistemi che toccano PCI siano conformi e, a rigor di termini, l'unico scambio di PCI è tra il browser del client e il server di Authorize.Net.

Detto questo, sarebbe comunque saggio cercare di seguire molte delle linee guida in quanto un compromesso del tuo server potrebbe facilmente compromettere il punto in cui viene inviato il PCI (come il JavaScript dannoso che altera l'indirizzo POST del modulo). Le argomentazioni sul sito di Authorize.Net riguardano probabilmente il fatto che un compromesso del tuo server può ancora compromettere l'integrità della transazione, ma PCI-DSS non ha ancora raggiunto questo rischio ed è ancora tecnicamente qualcosa che un consumatore intelligente potrebbe rilevare e prevenire dal momento che il loro sistema è quello che viene ingannato a fare la cosa cattiva.

    
risposta data 01.05.2013 - 23:05
fonte
0

La tua "soluzione" presenta un grosso problema: devi inserire il tuo ID Authorise.net e la chiave API nel modulo in modo che A.net possa elaborare la transazione e inviare i soldi nel posto giusto.

Tutto ciò che un hacker dovrebbe fare per ottenere la chiave API e l'ID A.net è fare clic con il tasto destro e selezionare "Visualizza origine" per ottenere la chiave API del commerciante e l'ID A.net. Se provi a bloccarlo con qualche javascript lame, l'hacker semplicemente salverà la pagina sul suo disco fisso e poi la guarderà e riceverà la chiave ID / API. Ma i team di hacker "a noleggio" hanno i robot per farlo automaticamente.

Nel mio libro, questo non è nemmeno un "hack" - è troppo semplice e ovvio.

Quindi, se lo fai, spiegherai presto al tuo cliente perché 1 o 2 impiegati sono impegnati tutto il giorno a non fare nulla se non prendersi le porte autorizzate dalle carte di credito non clienti e restituire i crediti ai non-clienti, e rispondendo alle chiamate arrabbiate dei titolari di carte non clienti (tutto assolutamente per nessuna vendita) dato che i malintenzionati sbatteranno allegramente le transazioni con le carte contro l'account A.net del cliente per vedere se le carte di credito rubate che possiedono sono ancora buone. Quindi questa sarebbe una grande mossa per te.

Quindi le tue scelte sono 2: usa Stripe (e paga attraverso il naso) o programma una soluzione reale che sia sicura e invia il modulo al tuo server, aggiungi la chiave API e spara il pacchetto fuori dalla porta posteriore del tuo server per A.net, quindi analizzare la risposta diretta. Sì, questa misura significa che sarai pienamente conforme PCI.

Credimi, ci sono un sacco di squadre di hacker là fuori che hanno bot che spideranno il web alla ricerca della string'x_tran_key rivelante (il nome dell'elemento del modulo per inviare la chiave di transazione di A.net in un modulo a A.net) che è un omaggio ingiustificato per una chiave di transazione A.net aperta.

Hai intenzione di dare a quei ragazzi un bel giorno di paga?

    
risposta data 02.05.2013 - 07:23
fonte

Leggi altre domande sui tag