Mi cliente necesita los detalles de la tarjeta de crédito que se le enviarán por correo electrónico. ¿Funcionará un archivo cifrado?

Navega tus respuestas
5

Tengo un nuevo cliente que es revendedor de paquetes de vacaciones. Tienen múltiples mayoristas, y los mayoristas le indican a mi cliente que inicie sesión en su cuenta mayorista e ingrese los datos de la tarjeta de crédito de su cliente en su nombre para reservar el viaje.

Personalmente he confirmado que esta es su práctica estándar, y los mayoristas no ofrecen ninguna ayuda. La forma en que mi cliente manejó esto con su proveedor de alojamiento anterior fue mediante un formulario simple en su sitio web, que sus clientes usarían y la información de la tarjeta de crédito se envió por correo electrónico.

Esto es malo, obviamente.

Para agregar al desorden, los mayoristas requieren el código de seguridad de la tarjeta.

No quiero pasar por el control del cumplimiento de PCI, así que tengo algunas preguntas:

  1. ¿Alguien sabe de un servicio de terceros con el que pueda residir este formulario? También teniendo en cuenta que se necesita el CVV.
  2. ¿Qué sucede si creé un archivo cifrado que se envía por correo electrónico a mi cliente al enviar el formulario y construyo una aplicación de escritorio para que ingresen una clave con el fin de descifrarla?
  3. ¿Es mi negocio potencialmente responsable si construimos una solución y de alguna manera, la información de la tarjeta de crédito de alguien cae en manos maliciosas? Tal vez no debería permitirlo en mi servidor y obligarles a obtener un nuevo host, independientemente de si hacemos el trabajo o no.

Simplemente no tengo la menor idea de cómo resolver mejor esta situación. Miles de revendedores de paquetes de vacaciones en todo el mundo, ¿y esto es lo que se espera que hagan? Le sugerí a mi cliente que tomen los detalles de la tarjeta por teléfono y la destruyan después de realizar el pago, pero no pueden hacerlo debido a múltiples razones.

Esto ha terminado en una tonelada de búsqueda y lectura de otros escenarios. Todos los servicios de "almacenamiento" de tarjetas de crédito que he encontrado no guardan ni almacenarán el código de seguridad.

Estoy en una pérdida total. Por favor avise.

    
pregunta user1447679 15.10.2015 - 17:46
fuente

3 respuestas

1

Creo que la situación es un poco más fea de lo que te habrás dado cuenta. ¡Si estuviera en esta situación, me invertiría en encontrar la competencia del mayorista! Querría un mayorista que ofrezca un servicio que pueda aceptar pedidos directamente desde el sitio de su cliente o, mejor aún, una página que pueda vincularse desde su sitio para permitir que el usuario ingrese la información directamente en el sistema del mayorista.

PCI-DSS no se aplica formalmente a su cliente, excepto en la medida en que el mayorista les exija cumplir. Debe comprender que PCI-DSS es un requisito contractual entre las entidades comerciales. No es una ley que todos deben respetar. No está enviando los datos de la tarjeta a un procesador de tarjetas de crédito, solo a un comerciante. El mayorista probablemente esté violando sus responsabilidades contractuales con el procesador de su tarjeta, pero eso no expone directamente a los clientes del mayorista (es decir, a su cliente) a los requisitos específicos de PCI.

Habiendo dicho eso, puede existir el potencial de acción legal contra su cliente por parte de los clientes cuyos datos de CC están comprometidos. No soy abogado y este no es un consejo legal autorizado. TAMBIÉN, independientemente de PCI, creo que todos los estados de los EE. UU. ahora tienen leyes de notificación de violación de datos que requerirán que su cliente notifique a los clientes sobre los datos expuestos. y proporcionar protección crediticia por algún período, generalmente al menos 1 año, en caso de incumplimiento.

Por lo tanto, la PCI no se aplica realmente, pero debe tener cuidado al manejar todos los datos de los clientes. Ahora, vamos a discutir posibles enfoques.

Se sugieren dos enfoques de cifrado: cifrar un archivo y enviarlo por correo electrónico; utilizando correo electrónico cifrado utilizando S / MIME. Personalmente, me gusta el enfoque del correo electrónico encriptado. Un correo electrónico se puede construir y cifrar en la memoria para que los datos sin cifrar nunca caigan en la unidad del servidor. Escribir un archivo y luego cifrarlo agrega un nivel de riesgo.

Con S / MIME, naturalmente, utilizará un certificado x509 con un par de claves pública / privada para el cifrado asimétrico. Si opta por el enfoque de archivo cifrado, le insto a que utilice el cifrado asimétrico en lugar del cifrado simétrico mucho más simplista. La gran diferencia entre los dos es que una solución asimétrica en el servidor web solo tendrá la clave pública. Si el servidor estuviera comprometido, el atacante no obtendría la capacidad de descifrar los mensajes. Solo su cliente, utilizando la clave privada, podría descifrar los mensajes.

Hay varias soluciones de cifrado disponibles. Una biblioteca robusta, madura y de código abierto es GPG . También está muy bien documentado y es versátil. Podría usarse para cualquiera de los enfoques que he descrito.

    
respondido por el JaimeCastells 16.10.2015 - 01:38
fuente
0

En la práctica, encuentro que el cifrado basado en estándares (como el cifrado S / MIME y GPG que se sugiere en @JaimeCastells) no es factible para los usuarios finales. Hacer que los clientes pasen por el problema de configurar un software como este para enviar información a menudo no es factible. Requiere cierto conocimiento técnico decente para instalar y usar estos programas, y mantener el acceso a su clave privada, y preveo muchos problemas con los usuarios finales que reservan vacaciones a través de un distribuidor que no puede hacer esto.

Lo que podrías hacer es:

  • Configure una aplicación web como ownCloud, una instancia personalizada de Wordpress, etc. en un servidor en la oficina del cliente.
    • Si usa owncloud, habilite el cifrado de Owncloud
    • Fuerza HTTPS
    • Envíe a los clientes un enlace por correo electrónico a un formulario de texto que puedan completar con su información
    • Endurezca el servidor, apriete los firewalls, obtenga actualizaciones periódicas, todas las mejores prácticas.
  • Use una solución como box.com u otro almacenamiento en la nube
    • Nuevamente, configure un documento editable para que los clientes puedan enviar su información.
  • Use una solución de cifrado de correo electrónico como Virtru o Zix
    • Puede haber advertencias de que los usuarios deberán recordar usar estos mecanismos en lugar del correo electrónico regular.

La ventaja de hacer algo como esto es permitir que usted, o sus TI, tengan control central sobre el acceso. También se haría a través de HTTPS, que proporciona la capa de cifrado TLS. Habilitar el cifrado del sistema de archivos, o mejor aún, el cifrado a nivel de la aplicación web (como el cifrado de cloud propio que sugerí) lo hace aún más seguro.

Definitivamente puedo decirle que esto no calificaría para PCI, y también aquí se plantean cuestiones legales acerca de la responsabilidad que solo puede ser respondida por un abogado en su localidad. Este es simplemente mi intento de sugerir una solución "del mundo real" que mejorará la seguridad en gran medida y aún será utilizable.

    
respondido por el Herringbone Cat 17.10.2015 - 20:01
fuente
-3

Prepárese con burlingtonbankcard.com para procesar los pagos y use qualys.com para el cumplimiento de pci

    
respondido por el Robert 16.10.2015 - 00:07
fuente

Lea otras preguntas en las etiquetas

Si el hashing es una forma, ¿por qué podemos descifrar los hashes MD5? ¿Qué lenguaje de programación utiliza este código?