1. дома
  2. Вопрос и ответ
  3. Насколько важен безопасный сертификат для внутренней обработки кредитных карт?

Насколько важен безопасный сертификат для внутренней обработки кредитных карт?

2009-04-11 2 views
1

Где я работаю, у нас есть система электронной торговли в интрасети, настроенной для обработки кредитных карт клиента. В настоящее время, когда мы берем кредитную карту клиента с помощью Authorize.net, мы не отправляем информацию о кредитной карте в Authorize.net через безопасное соединение. Вместо этого он перебирает обычный http. Я хотел бы получить другие мнения о том, насколько это серьезно или небрежно. Благодарю.Насколько важен безопасный сертификат для внутренней обработки кредитных карт?

EDIT: Похоже, я ошибаюсь. Я заглянул в код, и похоже, что он обрабатывает кредитную карту на https://secure.authorize.net. Однако веб-страница, на которой вводится кредитная карта, не является безопасной. Это совсем другая ситуация, чем я изначально описал. Извини за это.

источник

2009-04-11 SquidScareMe

ответ

7

Это кажется очень небрежным. Слишком много утечек информации о кредитной карте, чтобы допускать такое поведение.

Даже если обработка была обработана внутренней в вашей интрасети и не отправлена ​​третьей стороне, я бы рекомендовал использовать защищенные соединения. Вы не хотите, чтобы это было доступно любому, даже внутренним, несанкционированным сотрудникам.

источник

2009-04-11 19:44:05

1

Это абсолютная, беспрецедентная катастрофа. Вы должны немедленно (и я имею в виду немедленно) использовать, по крайней мере, безопасность транспортного уровня (SSL/TLS), и если Authorize.net может настроить для него, безопасность на уровне сообщений.

источник

2009-04-11 20:02:43

3

Я смущен. Как вы отправляете простые HTTP-запросы на Authorize.net? В их конечных точках транзакций нет версий HTTP - они были бы преступно небрежны, чтобы это разрешить.

Теперь, когда вы отредактировали, все немного яснее. Да, это все еще риск для безопасности, чтобы страница интрасети была HTTP вместо HTTPS, но намного меньше, чем первоначально указывал ваш вопрос (незашифрованный транзит общедоступного Интернета).

Поскольку он является внутренним, вам не нужен платный сертификат SSL (если стоимость является причиной для предотвращения HTTPS - я не могу придумать никаких других веских причин) - вы должны иметь возможность использовать самозаверяющий ,

источник

2009-04-11 20:06:01 ceejayoz

+0

Хороший вопрос. Я не работаю над этой системой электронной торговли, которую я описал. Все, что я знаю, это не безопасный сертификат, связанный с этим веб-сайтом. – SquidScareMe

+0

Это не одно и то же. –

+0

Вы правы. Пожалуйста, ознакомьтесь с моим изменением в моей оригинальной публикации. Спасибо. – SquidScareMe

2

Это очень важно, и то, что вы делаете, может вызвать серьезные проблемы.

Также это противоречит стандартам PCI, и каждая компания, обрабатывающая информацию о кредитных картах, должна следовать стандартам PCI, поэтому вы можете пойти на некоторые юридические проблемы, чтобы сделать это.

источник

2009-04-11 20:07:22

1

Я рекомендую прочитать OWASP руководство: http://www.owasp.org/index.php/Category:OWASP_Guide_Project (Бесплатно скачать)

Page 53 и далее .. Есть немного большой информации.

Я бы сказал, что вы делаете, это ужасно небрежен и должен быть отсортирован ASAP ..

источник

2009-04-11 20:07:43 cwap

 Смежные вопросы

  • Нет связанных вопросов^_^