Devo sapere come proteggere in modo sicuro le informazioni sulla mia carta di credito dei consumatori senza acquistare costosi certificati? È possibile utilizzare https: // e ssl o tls senza un certificato e senza avvisi spaventosi dai browser? Se sì, qual è il modo più sicuro?
I need to know how to properly secure my consumers credit card info without buying expensive certificates?
I certificati RapidSSL costano fino a $ 49 / anno. Inoltre, per proteggere correttamente le informazioni della carta di credito è necessario molto più che usare solo TLS e avere un certificato firmato da una CA.
Se $ 49 / anno ti costa un sacco di soldi allora non penso che tu abbia le risorse per archiviare correttamente i dati della carta di credito in modo sicuro e conforme . Presumibilmente utilizzi un hosting web gratuito o molto economico, il che significa che probabilmente hai un ambiente di hosting condiviso con un controllo limitato sul firewall, sulla registrazione e su altri utenti malintenzionati sul sistema.
Avere risorse così limitate non significa che non puoi accettare pagamenti con carta di credito, solo non ospitare il checkout o conservare i dettagli della carta di credito . Verifica con la tua banca se hanno un prodotto gateway ospitato o guarda qualcosa come Stripe Checkout o checkout express PayPal * .
Ciò ti consentirà di accettare pagamenti con carta di credito senza dover utilizzare TLS (anche se ti consiglio comunque di farlo), perché il tuo sistema non entrerà mai in contatto con i dati della carta di credito.
I need to know how to properly secure my consumers credit card info without buying expensive certificates?
Utilizza un fornitore di servizi di pagamento e non gestisci informazioni sensibili come le carte di credito da te stesso, ovvero non ottieni nemmeno le informazioni dell'utente.
Dato che non puoi investire nemmeno una piccola somma di denaro comparabile per ottenere un certificato adeguato, non sarai in grado di investire la quantità molto più grande che è necessaria per costruire un'infrastruttura per la gestione sicura di tali dati sensibili. Il certificato utilizzato per SSL si occupa solo della sicurezza del trasporto dal browser dei client fino al tuo server. Ma in nessun caso ti farà proteggere da attacchi come l'iniezione SQL o l'hacking del tuo server.
Se sei ancora disposto a gestire da solo i dati della carta di credito dovresti dare un'occhiata ai requisiti PCI per la gestione delle informazioni della carta di credito. I costi del certificato sono ridotti rispetto agli altri costi necessari per raggiungere la conformità PCI.
Sì. Puoi utilizzare StartSSL, ma questi rilasciano solo certificati gratuiti per un periodo di validità di 1 anno, tramite una verifica automatica.
Puoi anche utilizzare il nuovo servizio LetsEncrypt che verrà lanciato nell'estate 2015.
Leggi altre domande sui tag web-application