Domanda:
Protezione di un sito di e-commerce
jeremy85
2010-12-19 11:32:19 UTC
view on stackexchange narkive permalink

Sto creando un sito di e-commerce personalizzato e l'utente inserirà i dettagli della sua carta di credito sul sito invece di essere indirizzato al sito del gateway di pagamento.

Sono confuso su quali siano i passaggi critici che devo eseguire per proteggere la transazione con carta di credito.

I gateway di pagamento stanno ovviamente cercando di vendere certificati SSL, ma a quanto mi risulta, lo scopo principale di questi è fornire l'autenticazione e non la crittografia dei dettagli della carta di credito./Quali passaggi devo eseguire per garantire i dettagli della carta di credito del cliente (e altre informazioni trasmesse tramite XML al gateway di pagamento) sono al sicuro?

Grazie

Le prime 2 frasi del tuo post non dovrebbero ** mai ** essere viste insieme
Tre risposte:
AviD
2010-12-19 12:40:10 UTC
view on stackexchange narkive permalink

@ Jeremy, la prima cosa che devi fare è leggere PCI-DSS.
Questo dovrebbe fornire un'ottima lista di controllo per principianti. Inoltre, non hai davvero scelta in merito, se vuoi accettare carte di credito devi devi rispettare il PCI.

In effetti, faresti meglio a NON accettare carte di credito e avere altri servizi che lo fanno per te: Paypal, gateway di pagamento, qualunque cosa. Dopo aver esaminato PCI probabilmente sarai d'accordo con me ...

Ecco alcuni punti salienti, LONTANO dal completamento:

  • Proteggi tutte le comunicazioni, utilizzando SSL / TLS con i certificati , comprese sia la crittografia e autenticazione (del server)
  • Autentica tutti gli utenti (molto lavoro intorno alla politica delle password e simili)
  • Controllare l'accesso all'applicazione, ai server e al database
  • Non memorizzare mai i dettagli della carta di credito, solo PAN crittografati
  • Non memorizzare mai i dati di traccia, CVV ecc. ASSOLUTAMENTE
  • Proteggi il tuo sito in modo che non sia facilmente danneggiabile
  • Monitoraggio, criteri, ecc. ecc. e molto altro ancora ...
+1 sul pezzo "chiedi a qualcun altro di farlo per te". Questo lato del settore è molto ben sviluppato ora e la maggior parte dei principali fornitori comprende l'architettura della sicurezza, lo sviluppo sicuro, i test e l'audit: non puoi assolvere ogni responsabilità per la sicurezza, ma se puoi avere la certezza che un provider lo farà al livello di cui hai bisogno, allora devi solo preoccuparti della tua fine.
@Rory, Vorrei che fosse vero :). Tuttavia, riporta ancora una volta [* Legge di conformità di AviD *] (http://security.stackexchange.com/q/622/33#631): "La conformità PCI riduce il rischio di sanzioni in caso di non conformità"
Con il tuo permesso - vorrei citare la legge di conformità di AviD sul lato PCI-DSS :-) Ad essere onesti, non stavo davvero includendo PCI-DSS come 'garanzia' su questo - la mia visione della sicurezza è considerevolmente di più in profondità!
@Rory - Mi piacerebbe! : D
+1 per aver passato la mano. Il costo della conformità è molto spesso * MOLTO * superiore al costo dell'outsourcing.
Rory McCune
2010-12-20 01:57:28 UTC
view on stackexchange narkive permalink

Per aggiungere alle risposte già fornite, se hai intenzione di elaborare i dettagli della carta di credito, vale la pena rivedere la OWASP Top 10 e assicurarti di tenere conto di tutti i rischi presenti (dimostrando che potrebbe anche aiutare con la tua conformità PCI).

Per alcune informazioni più approfondite su questo lato delle cose potresti anche guardare la Guida allo sviluppo di OWASP.

FWIW Concordo con @AviD sul fatto che se puoi evitare di elaborare i dati della carta di credito, ti renderà la vita molto più semplice dal punto di vista della conformità e probabilmente della sicurezza.

anonymous
2010-12-19 18:39:50 UTC
view on stackexchange narkive permalink

Se stai realizzando un sito di e-commerce, dovresti capire quale responsabilità devi gestire. A questo punto ti suggerirei di eseguire security audit e pentest (entrambi non sono uguali). Certo, non dovresti fare affidamento solo su soluzioni e suggerimenti di fornitori di sicurezza: ciò che sto raccomandando è il controllo post-vendita.

@AviD ha menzionato PCI-DSS, qual è la chiave della soluzione robusta di integrità e sicurezza dei dati utente. Tuttavia, molti sviluppatori non riescono a soddisfare tutti i requisiti standard. Ecco perché se non sei sicuro di come iniziare, cosa fare o semplicemente vuoi sentirti al sicuro, ti consiglio di rivolgerti all'azienda che effettuerebbe i controlli di sicurezza.

Aggiornamento: solo per chiarire - che cosa Suggerisco di eseguire passaggi da eseguire dopo la creazione dell'applicazione, quando pensi di essere pronto per iniziare a eseguirla per un vasto pubblico. Successivamente potrebbe essere rivelato che non sei affatto pronto e richiede diversi passaggi di revisione.

@Ams, mentre io sono tutto per i diversi tipi di test, non puoi * testare * un'app sicura. Inoltre, non è ancora costruito - sta chiedendo cosa dovrebbe fare ora.
@AviD - Capisco che l'app non è ancora stata creata, sto per ulteriori passaggi. E non riuscivo a capire cosa significhi "non puoi testare un'app sicura".
@Ams ovviamente sono d'accordo con i passaggi successivi, tuttavia non è quello che chiedeva @jeremy ... Forse se lo sottolinei come consiglio per il futuro ... Volevo dire che non puoi rendere sicura un'app semplicemente testandola.
@AviD, ah, ora ti ho capito. Poi qui c'era una sorta di confusione. Sicuramente l'applicazione non può essere creata in modo sicuro solo testandola. È abbastanza ovvio. Quindi ricorderebbe qualcosa come l'enumerazione dei modi migliori per "come fare".


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...