¿Necesito saber cómo proteger adecuadamente la información de la tarjeta de crédito de mis consumidores sin comprar certificados costosos? ¿Es posible usar https: // y ssl o tls sin un certificado y sin advertencias de miedo de los navegadores? En caso afirmativo, ¿cuál es la forma más segura?
Necesito saber cómo proteger adecuadamente a mis consumidores información de la tarjeta de crédito ¿Sin comprar certificados caros ?
Los certificados RapidSSL son tan baratos como $ 49 / año. Además, asegurar la información de la tarjeta de crédito requiere mucho más que solo usar TLS y tener un certificado CA firmado.
Si $ 49 / año es mucho dinero para usted, entonces no creo que tenga los recursos para almacenar adecuadamente los datos de la tarjeta de crédito de manera segura y compatible . Es de suponer que está utilizando alojamiento web gratuito o muy económico, lo que significa que probablemente tenga un entorno de alojamiento compartido con control limitado sobre su firewall, registro y otros usuarios potencialmente maliciosos en el sistema.
Tener esos recursos limitados no significa que no pueda aceptar pagos con tarjeta de crédito, simplemente no hospede el pago o almacene los detalles de la tarjeta de crédito usted mismo. Consulte con su banco para ver si tienen un producto de puerta de enlace alojado, o vea algo como Stripe Checkout o Pago exprés de PayPal .
Esto le permitirá aceptar pagos con tarjeta de crédito sin necesidad de utilizar TLS (aunque aún así lo recomiendo), porque su sistema nunca entrará en contacto con los datos de la tarjeta de crédito.
¿Necesito saber cómo proteger adecuadamente la información de la tarjeta de crédito de mis consumidores sin comprar certificados costosos?
Utilice un proveedor de pagos y no maneje ninguna información confidencial como las tarjetas de crédito por su cuenta, es decir, ni siquiera obtenga la información del usuario.
Ya que no puede invertir ni siquiera una pequeña cantidad de dinero comparable para obtener un certificado adecuado, no podrá invertir la cantidad mucho mayor que se necesita para construir una infraestructura para el manejo seguro de estos datos confidenciales. El certificado utilizado para SSL solo se preocupa por la seguridad del transporte desde el navegador de los clientes hasta su servidor. Pero de ninguna manera lo hará comprar protegido contra ataques como la inyección SQL o la piratería de su servidor.
Si todavía está dispuesto a manejar los datos de su tarjeta de crédito, debería echar un vistazo a los requisitos de PCI para manejar la información de la tarjeta de crédito. Los costos del certificado son pequeños en comparación con los otros costos necesarios para alcanzar el cumplimiento de PCI.
Sí. Puede usar StartSSL, pero esos solo emiten certificados gratuitos por un período de validez de 1 año, a través de una verificación automática.
También puede usar el nuevo servicio LetsEncrypt que se lanzará en el verano de 2015.
Lea otras preguntas en las etiquetas web-application