it-swarm-es.com

Asegurando un sitio de comercio electrónico

Estoy construyendo un sitio de comercio electrónico personalizado, y el usuario ingresará los datos de su tarjeta de crédito en el sitio en lugar de dirigirse al sitio de la pasarela de pago.

Estoy confundido en cuanto a cuáles son los pasos críticos que necesito tomar para asegurar la transacción con tarjeta de crédito.

Obviamente, las pasarelas de pago están intentando vender certificaciones SSL, pero mi comprensión es que el propósito principal de esas es proporcionar autenticación y no el cifrado de los detalles de la tarjeta de crédito./¿Qué pasos debo tomar para garantizar que los datos de la tarjeta de crédito del cliente (y otra información que pase a través de XML a la puerta de enlace de pago) estén seguros?

Gracias

9
jeremy85

Para agregar a las respuestas ya dadas, si va a procesar los detalles de la tarjeta de crédito, vale la pena revisar el OWASP TOP 1 y garantizar que tenga en cuenta todos los riesgos allí (demostrando que Bien puede ayudar con su cumplimiento PCI también).

Para obtener más información más detallada en ese lado de las cosas, también podría ver la Guía de desarrollo OWASP

FWIW Estoy de acuerdo con @avid que si puede evitar procesar la información de la tarjeta de crédito, hará que su vida sea mucho más sencilla de un cumplimiento y probablemente una perspectiva de seguridad.

6
Rory McCune

Si está construyendo el sitio de comercio electrónico, debe darse cuenta de qué responsabilidad tiene que manejar. En este punto, le sugerí que ejecute la auditoría de seguridad y PENTEST (ambos no son iguales). Claro, no debe confiar solo en soluciones de proveedores de seguridad y sugerencias, que lo que estoy recomendando es la comprobación posterior.

@AVID mencionó PCI-DSS, ¿cuál es la clave de la solución de integridad y seguridad robustas de datos del usuario? Sin embargo, muchos desarrolladores no cumplen con todos los requisitos estándar. Es por eso que si no está seguro de cómo comenzar, qué hacer o simplemente desea sentirse seguro: estoy recomendando abordar a la compañía que realizaría controles de seguridad.

Actualización: solo para aclarar: que lo que estoy recomendando son los pasos que deben hacerse después de que se construya la solicitud, cuando usted piense está listo para comenzar a ejecutarlo Para una amplia audiencia. Más tarde, podría revelarse que no está listo en absoluto y requiere varios pasos de revisión.

1
anonymous