¿Dónde está la seguridad cuando una pasarela de pago permite que el sitio web maneje los detalles de la tarjeta de crédito?

3

¿Alguien ha trabajado antes con la pasarela de pago eWay?

Básicamente, hay un punto final de servicio donde se publican los detalles del cliente y de la tarjeta de crédito desde la aplicación web después de que el navegador envía esos detalles al servidor.

Ahora, ¿cómo es esa seguridad de cualquier tipo? (Tenga en cuenta que no soy un experto en seguridad. Solo un desarrollador) El vínculo más débil del pago en línea, AFAIK, siempre ha sido la parte consumidora del servicio, es decir, los sitios web de comercio electrónico en sí mismos.

Si yo fuera el usuario, espero que mi detalle de CC solo sea manejado por la pasarela de pago, no por la aplicación web. ¿No era ese el punto central de una pasarela de pago? ¿Para abstraer la preocupación de seguridad de la aplicación web?

    
pregunta Sleeper Smith 03.11.2011 - 23:35
fuente

3 respuestas

4

De acuerdo, desde el punto de vista de la divulgación de información, menos partes en el proceso de transacción son mejores.

Específicamente para eWAY (con el que no he usado) Supongo que se está refiriendo a la solución de Pago Alojado (consulte enlace ) donde se expone un servicio web. eWAY ofrece alternativas como el pago compartido (consulte enlace ) que es el redireccionamiento a la solución de pasarela de pago, pero es posible que no esté disponible en su ubicación específica.

En el caso de que tome datos de pago, deberá cumplir con la norma PCI-DSS (o equivalente) además de la pasarela de pago. Además, debe evitar almacenar cualquier información de pago que pueda ser recolectada por un atacante.

Desde el punto de vista de un usuario, mi opinión personal es que sería más prudente que se le redirigiera a una pasarela de pago que no saben y luego utilizar el pago del sitio web. Solo algo para considerar.

En mi opinión, usaría una pasarela de pago que manejaba todos los detalles de pago con el fin de descargar el riesgo.

Espero que eso ayude.

    
respondido por el Bernie White 06.11.2011 - 03:44
fuente
3

La idea de seguridad de pasar información a través de una pasarela de pago es no tener que mantener ningún dato de tarjeta dentro de sus propias aplicaciones. En ese sentido, un servidor comprometido solo puede proporcionar información sobre las transacciones con tarjeta después del hecho. También proporciona un nivel de simplicidad al sitio web de la aplicación donde no tienen que desarrollar el código para manejar las transacciones con tarjeta de crédito.

    
respondido por el Jeff Ferland 07.11.2011 - 01:07
fuente
0

La parte más débil de la seguridad de las tarjetas de crédito siempre ha sido que los números de las tarjetas de crédito se almacenan en los servidores. Si no almacena los números en sus propios servidores, el pirateo le costará mucho menos.

    
respondido por el Robert David Graham 07.11.2011 - 01:28
fuente

Lea otras preguntas en las etiquetas