Qual è il vantaggio di passare le carte di credito tramite javascript rispetto al server (senza salvarlo)?

3

Ho notato che gli attuali gateway delle carte di credito come stripe e wepay incoraggiano l'invio del numero della carta di credito tramite il loro framework js (che userebbe qualche iframe jsonp magic per passare i dati).

A mia conoscenza, in questo modo non devi preoccuparti di gran parte della conformità PCI se non utilizzando SSL.

Comprendo che l'archiviazione può portare a molti problemi, dal modo in cui è memorizzato (forza della crittografia) per proteggere dai dipendenti l'accesso al database, alla protezione del database dall'iniezione SQL ecc. Ma se non viene memorizzato, come potrebbe i dati sono stati compromessi? Se sono preoccupato che qualcuno entri nel mio server e modifichi i file per indirizzare i dati a se stessi, allora non farà la differenza quale sia il mio codice.

La mia domanda è: quali sono effettivamente i rischi per la sicurezza quando il mio server invia le informazioni cc (anche senza memorizzarle) per averle inviate dal browser / client?

    
posta scrollup 31.03.2015 - 21:30
fonte

1 risposta

1

I rischi sono più sul lato client delle cose che sul lato server. Quello che intendo è che come consumatore non voglio che i miei dati vengano inviati al tuo server per "elaborazione", che viene poi inviato a stripe / wepay. Non so come stai trasmettendo i dati o se non lo stai conservando nel modo in cui dici di essere. Anche dal punto di vista del consumatore, se non sei conforme allo standard PCI, non andrei vicino ai tuoi sistemi.

Se volessi comunque eseguire l'elaborazione dovresti trovare una libreria lato server (di cui non ho visto l'accesso) e assicurarti che i dati che vengono trasmessi siano inviati in modo sicuro dal client a te e da te al gestore di transazioni.

I rischi sono gli stessi su entrambi i lati, MITM. Se so che la mia connessione al servizio è sicura, perché rischierei di usare il tuo sistema come MITM?

    
risposta data 31.03.2015 - 21:44
fonte

Leggi altre domande sui tag