Un cliente me pidió que recibiera la información de la tarjeta de crédito de sus clientes por correo electrónico. Sé que es una manera muy poco segura ... Pero si la página con el formulario de entrada está en HTTPS y luego uso un smtp (como mandrill) que usa un SSL / TLS ... ¿se puede oler el correo electrónico de alguien?
Editar:
¿Utilizar un sistema de encriptación como enlace (con su api) podría ser una solución?
No confío en que los detalles de la tarjeta de crédito se envíen por correo electrónico sin cifrar, y aunque no soy un experto en PCI, creo que viola los requisitos de PCI para proteger los datos del titular de la tarjeta . HTTPS simplemente cifra la transferencia de datos entre el navegador web y el servidor web a través de la red. Si su cliente de correo electrónico está configurado para usar SMTP con SSL, eso solo cifra la transferencia de datos entre su cliente de correo electrónico y su dominio de correo electrónico (por ejemplo, si su dirección es gmail.com, se cifrará mientras se envía a los servidores de gmail, pero luego gmail puede leer sus datos). Su servidor de correo puede enrutar su correo electrónico de texto plano a muchos otros servidores (quienes podrían leer esa información), incluso si se pasan por redes no cifradas si es necesario.
Otra vez, tampoco confío en los datos PCI con una empresa como enlace . Dicen que generan aleatoriamente una clave de descifrado, que le enviarán, y también dicen que no conservarán su propia copia de esa clave. La última parte depende de que usted confíe en ellos para no guardar una copia de su clave o mensaje de texto sin formato, y simplemente no confiaría en que lo hagan sin un acuerdo comercial explícito que los haga responsables de cualquier falla en la configuración de su implementación que permita a cualquier malicioso. admin (o hacker) en su extremo para robar sus datos. Si necesita enviar datos confidenciales por correo electrónico, lo guardaría en un archivo y lo cifraría de alguna manera localmente (en la misma computadora) y luego enviaría el archivo cifrado al cliente, y en un canal seguro separado proporcione al cliente la frase de contraseña / clave para descifrarlo.
Si esto debe hacerse con poca frecuencia, tal vez algo simple como instalar GPG en un entorno linux / unix (como Mac OS X) y usar gpg -c sensitive_file.txt , que le pedirá una frase de contraseña y crear un archivo cifrado sensitive_file.txt.gpg que luego puede enviar a la otra parte para que descifre ( gpg -d sensitive_file.txt.gpg ) con una frase de contraseña que haya compartido en persona o a través de un canal no escuchable. De lo contrario, ambos deberían configurar una clave pública / privada en la que confíe, y luego pueden configurar clientes de correo electrónico cifrados con PGP o S / MIME. Esto es un poco más de trabajo, pero la mayoría de los clientes de correo electrónico modernos admiten algún tipo de cifrado de correo electrónico.
PD: esta petición parece muy extraña. ¿Está seguro de que no está siendo diseñado socialmente por alguien que intenta robar información de la tarjeta de crédito? Asegúrese de que este sea realmente su cliente, no alguien que se haga pasar por él (por ejemplo, después de obtener sus credenciales de inicio de sesión / contraseña de cuenta de correo electrónico en cualquiera de varias formas) que ahora está tratando de conseguir que regale información de tarjeta de crédito en un intento de phishing .
Supongo que quiere usar algún tipo de máquina PDQ que ya tiene para procesar los detalles de la tarjeta, en lugar de configurar una cuenta de comerciante de Internet por separado.
Independientemente de si eso sería seguro o no, dependiendo del país en el que se encuentre, es casi seguro que es ilegal y / o en contra de los términos y condiciones de los procesadores de pagos. Lo desalentaría mucho, de hecho, personalmente me negaría a implementar un sistema de este tipo.
No es solo la transferencia de los detalles por lo que debe preocuparse, sino también cómo se almacenan cuando llegan a su destino. Lea más en enlace para obtener más información.
(Perdón por no haber respondido realmente a tu pregunta, pero realmente no creo que esta sea una opción que debas considerar).
Lea otras preguntas en las etiquetas credit-card email smtp