Requisiti per i gateway di pagamento online

Se i server non memorizzano, elaborano o trasmettono i dati di titolari di carta in qualsiasi momento e in qualsiasi momento, i tuoi sistemi non sono idonei per la conformità PCI e hai effettivamente esternalizzato la gestione di tali dati a authorize.net - questo significa che PCI è semplificato poiché hai una portata ridotta e completarebbe un questionario di valutazione del Sé meno oneroso (SAQ). Come commerciante devi essere conforme, piuttosto che il tuo sito deve essere conforme. Il modo in cui gestisci i dati dei titolari di carta determina quali SAQ completi: se hai esternalizzato la gestione dei dati del titolare della carta, completi SAQ A che è piuttosto semplice!

Visa e MasterCard hanno linee guida su come proteggere le applicazioni web quando la gestione delle transazioni è stata esternalizzata, come l'utilizzo di pagine di pagamento ospitate. La preoccupazione è che l'applicazione possa essere manipolata e la trasmissione dei dati del titolare della carta sia reindirizzata (o copiata) a terzi.

I requisiti includono ciclo di sviluppo sicuro, scansione delle vulnerabilità, registrazione e monitoraggio dell'integrità dei file.

Dovresti considerare di memorizzare la chiave della transazione separata dall'applicazione stessa, come crittografata nel database o in un archivio separato con controlli di accesso sicuri.

Per prima cosa, non sono un avvocato, dovresti parlare con un avvocato o uno specialista PCI piuttosto che con una persona a caso su Internet. Detto questo, la mia comprensione di Direct Post è che il client invia il PCI al server Authorize.Net. Non viene mai toccato dal tuo server, quindi non dovrebbe richiedere la conformità PCI. PCI-DSS richiede solo che i sistemi che toccano PCI siano conformi e, a rigor di termini, l'unico scambio di PCI è tra il browser del client e il server di Authorize.Net.

Detto questo, sarebbe comunque saggio cercare di seguire molte delle linee guida in quanto un compromesso del tuo server potrebbe facilmente compromettere il punto in cui viene inviato il PCI (come il JavaScript dannoso che altera l'indirizzo POST del modulo). Le argomentazioni sul sito di Authorize.Net riguardano probabilmente il fatto che un compromesso del tuo server può ancora compromettere l'integrità della transazione, ma PCI-DSS non ha ancora raggiunto questo rischio ed è ancora tecnicamente qualcosa che un consumatore intelligente potrebbe rilevare e prevenire dal momento che il loro sistema è quello che viene ingannato a fare la cosa cattiva.

La tua "soluzione" presenta un grosso problema: devi inserire il tuo ID Authorise.net e la chiave API nel modulo in modo che A.net possa elaborare la transazione e inviare i soldi nel posto giusto.

Tutto ciò che un hacker dovrebbe fare per ottenere la chiave API e l'ID A.net è fare clic con il tasto destro e selezionare "Visualizza origine" per ottenere la chiave API del commerciante e l'ID A.net. Se provi a bloccarlo con qualche javascript lame, l'hacker semplicemente salverà la pagina sul suo disco fisso e poi la guarderà e riceverà la chiave ID / API. Ma i team di hacker "a noleggio" hanno i robot per farlo automaticamente.

Nel mio libro, questo non è nemmeno un "hack" - è troppo semplice e ovvio.

Quindi, se lo fai, spiegherai presto al tuo cliente perché 1 o 2 impiegati sono impegnati tutto il giorno a non fare nulla se non prendersi le porte autorizzate dalle carte di credito non clienti e restituire i crediti ai non-clienti, e rispondendo alle chiamate arrabbiate dei titolari di carte non clienti (tutto assolutamente per nessuna vendita) dato che i malintenzionati sbatteranno allegramente le transazioni con le carte contro l'account A.net del cliente per vedere se le carte di credito rubate che possiedono sono ancora buone. Quindi questa sarebbe una grande mossa per te.

Quindi le tue scelte sono 2: usa Stripe (e paga attraverso il naso) o programma una soluzione reale che sia sicura e invia il modulo al tuo server, aggiungi la chiave API e spara il pacchetto fuori dalla porta posteriore del tuo server per A.net, quindi analizzare la risposta diretta. Sì, questa misura significa che sarai pienamente conforme PCI.

Credimi, ci sono un sacco di squadre di hacker là fuori che hanno bot che spideranno il web alla ricerca della string'x_tran_key rivelante (il nome dell'elemento del modulo per inviare la chiave di transazione di A.net in un modulo a A.net) che è un omaggio ingiustificato per una chiave di transazione A.net aperta.

Hai intenzione di dare a quei ragazzi un bel giorno di paga?