Soru:
Tekrarlanan işlemler için kredi kartı bilgileri nasıl saklanır ve yine de PCI uyumlu olur?
Ivan
2014-06-06 21:47:19 UTC
view on stackexchange narkive permalink

PCI uyumluluğu açısından denetlendiğimizde yarın bizi işten çıkaracak bir sipariş işleme sistemine ilişkin mutlak saatli bombamızı elden geçiriyorum. O kadar amatör ki, korkutucu.

Üst kademelere CC bilgilerini depolamanın yükümlülüklerinin müşteriden numaralar için yeniden sormak zorunda olmamanın getirdiği kolaylıklardan ağır bastığı bir durum oluşturmayı planlıyorum, ancak ben Amazon gibi satıcıların tekrarlanan satın almalar için bilgi depolamaktan nasıl kaçacakları sorulacağını biliyorum ve buna cevabım yok.

Peki, satıcılar nasıl yapar Amazon ve PCI DSS v3 tarafından açıkça yasaklanan CVV bilgileri gibi şeyleri depolamadan gelecekteki ücretleri yetkilendiren her ay faturalandıran herkes gibi?

Başka bir yerde şerit bilgisi yerine jetonların oluşturulup saklanabileceğini okudum, ancak şerit içeriğini temsil eden bir jetona sahip olmak şerit bilgisinin kendisi kadar değerli değil mi? Jetona sahip herhangi biri dolandırıcılık suçlaması yapabilir, bu yüzden buna veya gerçek CC / CVV bilgilerine sahip olup olmadıkları kimin umurunda?

Ya da jeton dönüştürme, " gerçek PAN / CVV'yi kaydetmiyoruz " demenin ve düzenlemelere uygunluk sorunlarını bunu yayınlayan kişiye iletmenin bir yolu mu?

PCI DSS yönergelerini okudunuz mu? Anladığım kadarıyla (ve yönergeleri okumak zorunda kaldığımdan beri epey zaman geçti) PAN'yi bütünüyle açık metin olarak saklayamazsınız. Durumun böyle olduğunu varsayarsak, tuzlu bir hash * faturaya uymalıdır *.
Bir iş arkadaşım Amazon ile çalışırdı. Sistemlerini bana bir kez anlattı ve bana güvenin, şirketiniz Amazon'u kredi kartı işlemlerini nasıl yapmanız gerektiğine dair bir model olarak kullanmak istemiyor, en azından Amazon gibi bir şirketin kaynaklarına sahip değilseniz! CC bilgilerini tutan sunucu * tam anlamıyla bir kasaya kilitlenmiştir * ve bu, güvenliklerinin sadece başlangıcıdır.
DKNUCKLES - Benim yorumum, bir PAN hash'ını saklamanın kabul edilebilir olduğu, ancak benim hash oluşturma konusundaki anlayışım, bunun tek yönlü bir işlem olduğu yönünde. Kart numarasını tekrar kullanmak için çözemezsek, ilk etapta saklamanın anlamını görmüyorum (bir referans numarasının aksine) ... Mason - Çok ilginç, teşekkürler. Ve evet, CC verilerini barındırmak istememe nedenimin bir kısmı, bu tür varlıkların kaynaklarına sahip olmadığımızdır. Ben sadece bir adamım!
haklısınız @ivan - Ben karga yerim. Bunu kafein eksikliğinden suçluyorum ...
Jetonlarla gidin. 1) CC info hiçbir zaman sunucuya ulaşmazsa, PCI ile uğraşmanıza gerek yoktur 2) Bir simge, çok fazla ikincil hasar olmaksızın geçersiz kılınabilir. Tüm kullanıcılara yedek bir CC göndermekle karşılaştırın. 3) Genellikle belirli bir satıcının hesabına bağlıdır, bu nedenle DB'nizin sızması saldırganın parayı hesabına göndermesine izin vermez. Bunun aksine, bir CC numarası herhangi bir hedef hesapla kullanılabilir.
@ivan Hashing, girdi alanı tahmin et ve onayla mümkün olmayacak kadar büyükse tek yoldur. CC numaraları kısa ve tahmin edilebilirdir.
Utanmaz fiş, ilgili [Amazon CVV olmadan beni nasıl faturalandırır] (http://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-without-the-cvc-cvv-cvv2) - Kısacası, şarj etmek için sadece kart numarasına ihtiyacınız var.
belirteçler birincil ağ geçidiniz düşene kadar harikadır, ardından kart ayrıntısını müşterinizden tekrar almanız gerekir ... büyük ecom sitelerinde bu sorun her zaman görülür ... #sigh
Dört yanıtlar:
Tim Brigham
2014-06-07 00:25:05 UTC
view on stackexchange narkive permalink

Ivan, bu kesinlikle muazzam bir konu. Ve burada bir sürü sorunuz var. Yardım etmeye çalışacağım ama bu muhtemelen çok geniş bir şekilde kapanacak.

CC bilgilerini depolamanın yükümlülüklerinin müşteriden numaralar için yeniden sormak zorunda olmamanın getirdiği kolaylıklardan ağır bastığı konusunda üst düzey kuruluşlara bir vaka sunmayı planlıyorum, ancak Amazon ve benzeri satıcıların tekrarlanan satın alma işlemleri için bilgi depolamaktan nasıl kaçtıkları sorulacak ve buna cevabım yok.

Kredi kartı verilerini saklamak tamamen kabul edilebilir, ancak orada bunu nasıl yaptığınızı çevreleyen bir ton kuraldır - nerede, nasıl, denetim vb. Bu konuda çok sayıda kitap var.

Peki, Amazon gibi satıcılar ve aylık olarak fatura kesen herkes, PCI DSS v3 tarafından açıkça yasaklanan CVV bilgileri gibi şeyleri depolamadan gelecekteki ücretleri nasıl yetkilendiriyor?

CVV bilgilerine hiç sahip olmanıza gerek yoktur, bu sadece sahtekarlığa yardımcı olur. İlk kez kontrol ettikten sonra (diske yazmadan da yapılabilir) kartın hileli olmadığını varsayabilirsiniz. Yapması gereken işi yaptı.

Başka bir yerde şerit bilgisi yerine belirteçlerin oluşturulup depolanabileceğini okudum, ancak şerit içeriğini temsil eden bir simgeye sahip olmak şerit bilgisinin kendisi kadar değerli değil mi? Jetona sahip olan herhangi biri hileli ödemeler yapabilir, bu yüzden buna veya gerçek CC / CVV bilgilerine sahip olup olmadıkları kimin umurunda?

Kart sahibi bilgilerini dışarı çıkarmayı başarırsanız, çevrenize ve başkasının bakımına. 'Belirteç', sisteminizin hala geleneksel anlamda hareket etmesine izin veren benzersiz bir tanımlayıcıdır. Sağlayıcınıza bir jeton listesi sağlarsınız ve bunları gerçek sayılara çevirirler.

Bu iyidir çünkü gerçek sayıları saklamak / işlemek / vb. onların sorumluluğundadır. Bu konuda sorumluluğunuz ortadan kalkar.

Ya da jeton dönüştürme, "gerçek PAN / CVV'yi depolamıyoruz" demenin ve düzenlemelere uygunluk sorunlarını bunu gönderen kişiye iletmenin bir yolu mu?

Kesinlikle, ancak işleyen kişilere, jetonları kimin oluşturduğuna değil. :)

Düzenleme: Pek çok işletme uyumsuzluğun maliyetini anlamadan ilgilenmiyor.

Bkz. http://www.pcistandard.com/card-association-fines/

Güzel yorumlar. Elbette, verileri kendiniz * işleyebilir * ve yine de gerçek kart işlemeyi mevcut en iyi güvenliğe sahip bir alt sisteme aktararak bu avantajlardan bazılarını elde edebilirsiniz. Bu, bazı (belki hepsi?) Büyük bankaların yaptığı şeydir.
@JulianKnight - doğru. Evde çok benzer bir yöntem kullanıyoruz. Konuyu, muhtemelen ofiste özel bir ekip olan 'onlar' ile karıştırmak istemedim .. Bu başlı başına bir balmumu topu.
Çok ilginç; teşekkürler Tim. Hali hazırda, tüketici verilerini şirket içinde güvenli bir şekilde depolamak için gereken kaynaklara (veya açıkçası iş ihtiyacına) sahip değiliz ve PCI uyumluluğu, burada çalıştığım ve yaptığım sürece yalnızca bir endişe konusu olacak bunun hakkında gürültü. En azından üst kademeler bana bu özelliği ilerletmemi söylerse, adları ve PAN numaralarını düz metin tablolarında saklamaktan daha iyi bir şey yapmaya çalışabilirim! İşlemcimizin neler yapabileceğini göreceğim. Tekrar teşekkürler!
@Ivan - birçok işletme cezaların ne kadar sert olduğunu görene kadar ilgilenmez. Düzenlemeye bakın.
Merhaba @TimBrigham, "tokenları kimin oluşturduğu değil, kimin işlediği dışında" cümlesini detaylandırabilir misiniz?"Süreç" ile tam olarak neyi kastediyorsunuz?Örneğin, jeton değerini (dizeyi) kim "üretirse" (düzenlerse) kimin sorunu olursa olsun, kendi jetonumuzla birlikte (bir uuid etrafında oluşturulan) veri gönderebileceğimizi mi söylüyorsunuz?
@niahoo,'nin ana fikri, sağlayıcının - paypal, kim olursa olsun - bir belirteç oluşturması ve tüm işlemleri gerçekleştirmesidir - ve size gerçek kredi kartı numarasını kullanmak yerine dahili olarak referans verebileceğiniz bir belirteç verir.Jetonun neyi temsil ettiğini asla bilmemelisin.
@TimBrigham, bu örnekte ve sizin sözlerinizle belirteci "işleyen" Paypal, değil mi?(çünkü jetonla ilgili verilerle bazı gerçek işler yaparlar)
RSTaylor
2014-06-07 06:06:00 UTC
view on stackexchange narkive permalink

Birkaç yıl geçti, ancak e-ticaret yaparken (daha önce düz metin olarak binlerce kredi kartı numarası depolayan büyük bir şirket için bir iş dahil), tercih ettiğim yöntem Authorize.net'in CIM hizmetini (diğer sağlayıcılar benzer hizmetler var, bu sadece en aşina olduğum hizmet; sizin için en uygun olanı araştırın).

İşleyiş şekli, bilgiyi işlemciye göndermeniz ve onların bir jeton geri vermesiydi. Token, gerçek kart verilerinden daha güvenlidir çünkü bu kartı hesabınıza yalnızca o işlemciyi kullanarak şarj etmek iyidir. Birisi jetonu alıp başka bir yerde kullanamazdı ve eğer alırlarsa, bununla yapabilecekleri tek şey sizden sahte ödemeler yapmak olurdu, bu da hesabınıza para koyar ve sizi kötü gösterir, ancak yapabilirsiniz parayı iade edin ve jetonları iptal edin ve geçici rahatsızlık dışında gerçek bir zarar verilmez - kötü adamlar için para kaybı olmaz ve kartı değiştirmeye gerek yoktur.

Yinelenen ücretler tutarlı ve planlıysa, başka bir kart işleme hizmetleri, başlangıçta kart bilgilerini ne sıklıkla faturalandıracağınızla ilgili bir plan açıklamasıyla birlikte gönderdiğiniz abonelik planları oluşturmanıza olanak tanır. Daha sonra planı iptal edebilirsiniz, ancak ne kart bilgileriniz ne de jetonunuz yoktur, bu nedenle yanlışlıkla onlardan ücret alamazsınız (bir jetonla yapabileceğiniz gibi) veya bir ihlal durumunda kart bilgilerini kaybedemezsiniz.

CVV'yi hiçbir şekilde saklamayın, bu kesinlikle yasaktır. Buna hiç ihtiyacınız yok ve buna sahip olmak büyük bir sorumluluk. En fazla jeton veya abonelik kimliği dışında hiçbir şey saklamanıza gerek yoktur. Son 4 basamak ve kart türü (visa / mastercard / vb.) Müşteri hizmetlerine yardımcı olabilir, ancak gerçekten gerekli değildir.

Stripe de bunu yapıyor. Bir kredi kartından tekrarlayan ödemeler yapmak için kullanılabilecek bir jeton oluştururlar ve kredi kartı numaralarını kendiniz saklamak konusunda endişelenmenize gerek yoktur.
belirteçler yalnızca daha küçük işlemler için kullanışlıdır ... ağ geçitleri aşağı iner ve ikincil ağ geçidiniz, sağlayıcı 1'in belirtecini kullanarak kişi ayrıntılarına erişemez, bu yüzden buna da gelir. Jetonlar bunun için en iyi 'hızlı ve kirli' yoldur.
O. Meyer
2014-06-07 22:11:52 UTC
view on stackexchange narkive permalink

RSTaylor sizi doğru yönü gösteriyor. Sizin için kredi kartı işlemlerini sağlayacak şirketler var (tabii ki bir ücret karşılığında). Müşterinin numarası hiçbir zaman sunucularınıza, RAM'e bile gitmeyecek, böylece orada tehlikeye atılmayacak şekilde bir site oluşturabilirsiniz.

Sorumluluk Reddi 1: Bu şirketin dürüstlüğüne ve uyumluluğuna güvenmeniz gerekir. Belirli bir şirketi önerecek kadar bilgim yok.

Sorumluluk Reddi 2: Kredi kartı işlevini sitenize sorunsuz bir şekilde yerleştirmek de biraz yanıltıcı olabilir, ancak yapılabilir.

Sorumluluk Reddi 3: Web sunucunuz hala PCI uyumluluğu kapsamındadır.
@Timee's sorumluluk reddi tamamen yanlıştır. Kart sahibi bilgileri bir noktada RAM'de değilse, söz konusu sunucuya iletilmemiştir. Bir sunucu kart sahibi verilerini iletmiyor, depolamıyor veya işlemiyorsa, kapsam dahilinde değildir.
PCI DSS 3.0 için yeni kapsam belirleme yönergelerini okuyun. Bir sistem kart verilerinin bütünlüğünü etkileyebiliyorsa, PCI uyumluluğu kapsamında değerlendirilir ve gereksinimleri karşılaması gerekir. PCI DSS 3.0'dan doğrudan bir alıntı: "PCI DSS kapsamının dışında kabul edilmesi için, bir sistem bileşeninin, kapsam dışı sistem bileşeninin güvenliği ihlal edilmiş olsa bile CDE'den uygun şekilde izole edilmesi (bölümlere ayrılması) gerekir. CDE'nin güvenliğini etkileyemez. " Açıklanan ödeme yapılandırması türü ile web sunucusuna bir uzlaşma, CDE ve kart verilerini etkileyebilir.
Web sunucusu kesinlikle kapsam dahilinde olabilir, tamamen uygulamaya bağlıdır. Resmi kılavuza bakın: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Why-is-there-a-different-approach-for-Direct-Post-implementations-than-for-iFrame-and -URL-yönlendirme-teknik-farklılıklar-nedir-ve-bunlar-e-ticaret-işlemlerinin-güvenliğini-nasıl etkiler? Q = web + sayfası & l = en_US & fs = İlgili Makale
Bu, bu, bu. Freb'in de hakkı vardır (veya alternatif olarak belirtilirse, Tim Brigham ve Timee'nin her ikisi de haklıdır).
erhun
2015-03-09 13:39:39 UTC
view on stackexchange narkive permalink

Sorunuz için

Öyleyse, Amazon gibi satıcılar ve aylık fatura kesen herkes, CVV bilgileri gibi şeyleri depolamaksızın, PCI DSS v3 tarafından açıkça yasaklanmış olan gelecekteki ücretleri nasıl yetkilendiriyor?

Bununla ilgili kesin bir senaryo vermek istiyorum.

  1. Kindle'ım aracılığıyla Amazon'dan tek tıkla ödeme işlemiyle kitap satın alıyorum ancak ödeme başarısız oluyor. Kredi kartımda yeterli kredi olduğundan eminim ve Amazon'da hep aynı kartla alışveriş yaparım.
  2. Sipariş ayrıntılarını kontrol ettiğimde ödeme sürecinde sorun olduğunu söylüyor ve benden başka bir kart kullanmamı istiyor.
  3. Kart ve banka bilgilerini kontrol ettiğimde, bankamın bir dolandırıcılık kontrolü olduğunu fark ediyorum çünkü bazı kart verilerini çaldı ve tüm çevrimiçi ödemeler için CVV gerekiyor.

Yani bu, tüccar ve banka arasındaki bir dolandırıcılık kuralıyla ilgili olduğu anlamına geliyor.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...