23

私は、非常に貧弱なデザインの中小企業の小売 Web サイトを継承して作業しようとしています。とりわけ、最大の懸念は、現在のクレジット カードの処理です。

現在、所有者はクレジット カード情報 (名前、番号、CVV2、および有効期限) をオンライン注文フォームから取得し、そのすべての情報を MySQL データベース内にプレーン テキストで保存しています。その後、誰かが注文したという通知が彼の電子メールに送信されます。その後、彼は注文とクレジット カード情報を表示する管理用バックエンド ページを作成し、自分のマーチャントでオフラインで処理するために使用します。

バックエンド ページから情報を取得した後、クレジット カード番号と CVV2 はすぐに削除されます (PHP スクリプトが自動的に呼び出されます)。また、7日以内に当該ページにアクセスしない場合も情報は削除されます。そのため、すべての情報がトランザクション処理前の 7 日間、プレーン テキストでデータベースに存在する可能性があります。

これは良い設計とは思えず、違法である可能性があります。もしそれが違法なら、彼はまだ気づいていないので、私は彼にこれを打ち明けなければなりません.

私の質問: 安全ではないことに加えて、これは違法または利用規約 (PCI DSS) の違反ですか? そして、もしそうなら、どうすれば彼にそれを証明して、彼が私に彼のやり方を変えることを許可することができますか (明らかに、私は違法なことに手を出したくありません.また、利用規約の文言が時々主観的に見える)?最後に、この問題を解決するための最良のオプションは何ですか (サード パーティのオンライン マーチャント、PCI DSS 準拠になるなど)?

4

6 に答える 6

21

これはPCIDSSの違反です。保存するはずのない情報(CVV)を保存しているだけでなく、クレジットカード番号を暗号化していない(違反もあります)。

さらに悪いことに、彼はVisaとMasterCardのガイドラインに違反しており、すべてのオンライントランザクションはECI準拠のデバイスまたはソフトウェアを使用して処理する必要がありインターネット注文には別のマーチャントアカウントが必要であると述べています。彼らのクレジットカード端末は、ECIに準拠していないため、ECIに準拠していません。これらの注文を処理するには、新しいマーチャントアカウントを取得し、Authorize.Netなどの支払いゲートウェイを使用する必要があります。

編集

ウェブサイトの所有者が実際に新しいマーチャントアカウントを取得したり、支払いゲートウェイを実装したりすることはないと思うので、最善の策は、この情報を保存するために双方向暗号化を使用することです。次に、クレジットカード情報の取得に使用するページが暗号化されていること(SSL証明書)を確認して、情報がエンドツーエンドで安全であることを確認します。

インターネットマーチャントアカウントを取得し、Authorize.Netなどの支払いゲートウェイを使用することを強くお勧めします。PCIおよびECIに準拠し、賢明な方法であることに加えて、ビジネスがマーチャントアカウントを失うだけでなく、ブラックリストに登録され、真のマーチャントアカウントを持つことが禁止される可能性は非常に高くなります。必要なのは、マーチャントアカウントプロバイダーが自分たちが何をしているのかを理解し、トラブルを開始するための1回のチャージバックです。

于 2010-02-10T22:16:35.193 に答える
4

これは、PCI 規則に対する重大な違反です。ドキュメントはこちらから入手できます: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml Google Checkout などのサードパーティに移行するのが賢明でしょう。PCIに準拠することは大きな頭痛の種であり、侵入テストなどを含む年次レビュー(自己評価の場合もあります)が必要です。本当に調べた場合、彼はおそらくクレジットカード情報にアクセスする必要はまったくなくトランザクション ID。データを暗号化する必要があるだけでなく、暗号化キーを保護するための精巧なスキームが必要です。これは、中小企業が参入したいものよりもはるかに大きい. 上記のアドバイスのいくつかは良さそうに聞こえますが、PCI 仕様を満たしていません。ドキュメントを読むと、それが大事業であることがすぐにわかります。私は現在、社内の PCI 準拠システムをサポートしており、標準に合わせるためにかなりの労力を費やさなければなりませんでした。また、ネットワークにも多くの変更を加える必要がありました。ビジネスがサードパーティに変換する方が安くなります。

于 2010-02-10T23:36:03.127 に答える
2

すべてのセキュリティとコンプライアンスの問題に対処するサードパーティの支払いプロバイダーがたくさんあります。

中小企業にとって、これは専門知識を持つ人々に確実にアウトソーシングされるべき機能の1つです。

于 2010-02-10T22:16:06.473 に答える
2

サードパーティのクレジットカード処理ゲートウェイを使用すると、クライアントのサーバーにクレジット情報を保存する必要がなくなります。POSTされたcc情報は、クライアントによる記録保持に使用できるトランザクションIDを返す処理ゲートウェイに渡されます。

クレジットカード決済ゲートウェイは、Authorize.net、LinkPointCentralなどの企業によって提供されています。PayPalでさえゲームに参入しています。すべての主要なゲートウェイには、ショッピングカートをほとんどの一般的なWebプログラミングプラットフォーム(.NET、PHP、Javaなど)と統合するための既存のコードがあります。さらに、ほとんどの主要なショッピングカートは、箱から出してすぐに主要なゲートウェイをサポートするか、少なくともほとんどのゲートウェイにインストール可能なモジュールを備えています。

したがって、クライアントはインターネット決済ゲートウェイを設定し、既存のコードをゲートウェイと統合する必要があります。

于 2010-02-10T22:17:51.583 に答える
1

支払いデータを正しく保護することは複雑なトピックです。非常に大規模な企業でさえ、システムから大量のクレジットカードが盗まれることがあります。

少なくとも、考慮すべき手順は次のとおりです。

  • オンライン注文フォームがHTTPSを使用してデータをキャプチャしていることを確認します。
  • DBとWebサーバーが異なるボックスの場合は、それらの間の安全なパスを確認してください。
  • DB内の支払いデータを暗号化します。MySQLリファレンス
  • バックエンドWebページへの強力なアクセス制御を確保します(外部から物理的にアクセスできますか?強力なパスワードが必要ですか?HTTPSですか?)
  • 支払い情報をファイルシステムに書き込むログ(デバッグログなど)がないことを確認します。
于 2010-02-10T22:19:30.643 に答える
0

これは間違いなく PCI 規則に違反しています。ただし、保存されたデータに暗号化を追加することはそれほど難しくないはずです。特に、人間がそれを見る必要があることがめったにない場合はなおさらです。

サードパーティのクレジットカード取引処理会社で働いていたので、システムがそれほど悪い場合は強くお勧めします. ただし、その情報を暗号化するか、TPP に送信された後はまったく保存しないようにする必要があります。TPP はマーチャントにとって非常に効果的であるため、コンプライアンスの問題を解決し、最良のインターチェンジ レートを得るのに役立ちます。

于 2010-02-10T22:13:30.597 に答える