Come sistema di ordine sicuro con carta di credito con posta vuota

0

Voglio sapere come proteggere l'ordine con carta di credito con una posta vuota.

Il mio capo incaricato di creare un nuovo sito come di seguito: 1) L'utente invia "E-mail vuota" al nuovo sito. 2) Il sito restituisce la posta incluso l'URL, l'URL visualizza il numero della carta di credito per iniziare il pagamento. 3) Dopo aver immesso il numero di carta di credito e premere OK, quindi visualizzare la codepage CVV2.    La pagina di input è fornita da società di carte di credito. 4) Il pagamento è completato, quindi il sito restituisce il codice PIN all'indirizzo e-mail.

Utilizziamo la funzione "E-mail vuota" per ottenere "dall'indirizzo".

Il capo ha detto, usiamo sempre CVV2, quindi il sistema è sicuro. Ma penso che non sia sicuro perché non ci sono limiti per provare altri codici CVV2 con lo stesso numero di carta di credito. E il sistema non ha membership, quindi non ci sono sistemi di login. Il primo OS di destinazione è lo smartphone (Android e iOS) e il secondo target sarà PC.

C'è qualche idea per rendere più sicuro il sistema, o qualsiasi sito che abbia avuto successo con uno stile simile, per favore fammi sapere.

    
posta hiromi suzuki 24.11.2014 - 15:46
fonte

1 risposta

2

È difficile commentare visto che non è chiaro quale dovrebbe essere il tuo modello di acquisto. In particolare, non è chiaro a cosa serve la funzione "e-mail vuota". Stai provando a fare la verifica dell'indirizzo e-mail?

Il metodo più comune è quello di consentire all'utente di inserire un indirizzo e-mail su un modulo Web e quindi ricevere una mail contenente un token o URL che conferma di averlo ricevuto. Penso che la maggior parte delle persone probabilmente troverà l'invio di una e-mail per richiedere che il token in risposta sia meno conveniente rispetto al tipico modello di modulo web.

Ci sono dei motivi per voler fare la verifica dell'indirizzo e-mail, ma nessuno di questi costituisce davvero una sicurezza extra per un semplice modulo di elaborazione dei pagamenti. Se sei preoccupato per gli attacchi di forza bruta contro il campo CVV2, allora (a) questo è normalmente il problema del sistema di pagamento, non il tuo; (b) gli indirizzi e-mail non sono una risorsa scarsa (chiunque può crearne milioni istantaneamente), quindi verificare indirizzi e limitare i tentativi per indirizzo non è una forma efficace di limitazione della velocità.

Il tuo passaggio (2) fa sembrare che stai servendo la pagina contenente il modulo per inserire il numero della carta di credito (PAN) in. Non è qualcosa che viene gestito anche dal processore di pagamento? Se stai accettando PAN in modo autonomo, ti stai mettendo in testa alcuni severi requisiti PCI-DSS, sei sicuro che sia quello che vuoi?

    
risposta data 24.11.2014 - 21:59
fonte

Leggi altre domande sui tag