¿Cuál es la ventaja de pasar tarjetas de crédito a través de javascript en comparación con el servidor (sin guardarlas)?

3

He notado que las pasarelas de tarjetas de crédito actuales como stripe y wepay recomiendan enviar el número de tarjeta de crédito a través de su marco js (que usaría algo de magia iframe jsonp para pasar los datos).

Por lo que sé, no es necesario que se preocupe por el cumplimiento de PCI que no sea el uso de SSL.

Entiendo que almacenarlo puede llevar a muchos problemas, desde cómo se almacena (fuerza de cifrado) para proteger del acceso de los empleados a la base de datos, a la protección de la base de datos de la inyección de SQL, etc. Pero si no se almacena, ¿cómo podría hacerlo? ¿Se comprometen los datos? Si me preocupa que alguien ingrese a mi servidor y modifique los archivos para que se dirijan los datos a ellos mismos, entonces no marcará la diferencia en mi código.

Mi pregunta es, ¿cuáles son los riesgos de seguridad si mi servidor envía la información del cc (incluso sin almacenarla) en lugar de que el navegador / cliente la haya enviado?

    
pregunta scrollup 31.03.2015 - 21:30
fuente

1 respuesta

1

Los riesgos están más relacionados con el cliente que con el servidor. Lo que quiero decir con esto es que, como consumidor, no quiero que mis datos vayan a su servidor para "procesarlos", que luego se envían a banda / wepay. No sé cómo está transmitiendo los datos o si no los está almacenando de la manera que dice. También desde el punto de vista del consumidor, si no es compatible con PCI, no me acercaría a sus sistemas.

Si, sin embargo, desea hacer el procesamiento, tendrá que encontrar una biblioteca del lado del servidor (de la cual no he sido investigado) y asegurarse de que los datos que se pasan se envíen de manera segura desde el cliente hacia usted y desde usted hacia manejador de transacciones.

Los riesgos son los mismos en ambos lados, MITM. Si sé que mi conexión al servicio es segura, ¿por qué me arriesgo a utilizar su sistema como MITM?

    
respondido por el Ajaxasaur 31.03.2015 - 21:44
fuente

Lea otras preguntas en las etiquetas