Pagos móviles seguros mediante la aplicación web HTTPS

Navega tus respuestas
4

Espero que un experto con conocimientos de conformidad con PCI pueda ayudar a responder esta pregunta.

Estamos analizando la integración de los pagos móviles con nuestra aplicación, que está basada en HTML5 por motivos multiplataforma. Después de considerar aplicaciones nativas, Square y otras, estamos considerando simplemente insertar una página HTTPS que se extrae directamente de una pasarela de pago (como Beanstream). Esto es para permitir que nuestros clientes acepten un pago con tarjeta de crédito, mientras que nuestra compañía no tiene ninguna información confidencial.

¿Alguien puede elaborar los riesgos de seguridad? Por ejemplo, ¿cuál es el riesgo de registro de teclas en un dispositivo iPhone o Android?

Gracias.

    
pregunta crockpotveggies 09.12.2011 - 23:17
fuente

2 respuestas

3

Si está utilizando un tercero como procesador de pagos, no necesita interactuar directamente con los datos de la tarjeta de crédito y, para el PCI-DSS, no se aplica a usted . Esto es realmente bueno para usted porque es costoso cumplir con todos los requisitos, incluso si su software es 100% reclamo. Hay una serie de servicios de pago que redirigen al cliente al procesador de pagos, Amazon FPS, Paypal Payflow, etc. Estos son excelentes servicios para nuevas empresas, ya que prácticamente no tienen requisitos de seguridad. Esto se debe a que hay un impacto de seguridad muy pequeño debido a una falla en su sistema. Sin embargo, cuando su empresa crece lo suficiente. Entonces puede obtener una mejor tasa de transacciones al convertirse en una queja de PCI.

En términos de riesgos, como el malware en el dispositivo. Realmente no hay mucho que puedas hacer al respecto, y el PCI-DSS no te hará responsable. En todo caso, la industria de las tarjetas de crédito busca formas de culpar al cliente por tales cosas. Un buen ejemplo es el Cuestiones de responsabilidad de chip y pin . La conclusión es que la industria de las tarjetas de crédito quiere que los comerciantes tengan éxito.

    
respondido por el rook 10.12.2011 - 00:40
fuente
4

Es la aplicación HTML5 cargada en un navegador móvil o usando WebView Canvas. Los navegadores actúan como una caja de arena, pero una aplicación HTML 5 que se abre con WebView ya no tiene la misma seguridad, pero se puede hacer más segura siguiendo algunas de las pautas que se enumeran en el siguiente enlace.

enlace

Algunos de los aspectos más destacados:

  1. Todas las páginas que cargue en la vista web deben ser de una fuente que usted acepta confiar Así que cargando una página de facebook o una página de foro o página similar no es segura.
  2. Sólo cargar la página de confianza en webview. por todos los demás se abren en el navegador web
  3. Asegúrese de que la aplicación HTML 5 tenga un mínimo permisos (no permitir el acceso a la cámara o contactos en el teléfono a menos que sea absolutamente necesario).
  4. No cargues ninguna página en tu aplicación que tiene anuncios a menos que esté dispuesto a confiar en ellos, que yo Creo que no deberías por una aplicación que acepte pago. Incluso si el El anuncio se publicó en una de sus páginas anteriores y no en el pago. página (ingrese tarjetas de crédito), el modelo WebView en Android y iPhone permite el acceso a través del contenido de varias páginas ... (vea el enlace para explicación detallada).

Línea inferior: la aplicación solo debe cargar páginas en webview en las que confíe absolutamente.

Verifico los documentos de cumplimiento de PCI, no existen pautas explícitas actuales sobre cómo aceptar datos de PCI en una aplicación móvil y están trabajando para crear pautas para ella (a partir de diciembre de 2011). Hasta entonces, siga la mayor cantidad posible de pautas de PCI, ya que nunca almacene datos privados en el teléfono y otros.

Espero que lo anterior haya sido útil. He estado buscando la guía de cumplimiento de doe PCI para la aplicación HTML 5 abierta en WebView durante los últimos 3-4 días.

Gracias,

    
respondido por el Pinkesh 07.01.2012 - 00:40
fuente

Lea otras preguntas en las etiquetas

¿Es seguro dar mi dirección de correo electrónico y dirección de casa de PayPal a un desconocido? [cerrado] ¿Defensa de inyección de código basada en host contra el virus?