¿Qué tan seguro es el sistema de pedidos de tarjetas de crédito con correo en blanco?

0

Quiero saber cómo asegurar el pedido con tarjeta de crédito con correo en blanco.

Mi jefe instruye para crear un nuevo sitio como el siguiente: 1) El usuario envía "correo electrónico en blanco" al nuevo sitio. 2) El sitio devuelve el correo incluyendo la URL, la URL es mostrar el número de la tarjeta de crédito para iniciar el pago. 3) Después de ingresar el número de la tarjeta de crédito y presione OK, luego visualice la página de códigos de entrada CVV2.    La página de entrada es proporcionada por la compañía de tarjetas de crédito. 4) El pago se completa, luego el sitio devuelve el código PIN a la dirección de correo electrónico.

Usamos la función "Correo electrónico en blanco" para obtener "de la dirección".

El jefe dijo que siempre usamos CVV2, por lo que el sistema es seguro. Pero creo que no es seguro porque no hay limitación acerca de probar otro código CVV2 con el mismo número de tarjeta de crédito. Y el sistema no tiene membresía, por lo que no hay sistema de inicio de sesión. El primer sistema operativo de destino es un teléfono inteligente (Android e iOS), y el segundo objetivo será PC.

Hay alguna idea para proteger más el sistema, o cualquier sitio exitoso con un estilo similar, por favor hágamelo saber.

    
pregunta hiromi suzuki 24.11.2014 - 15:46
fuente

1 respuesta

2

Es difícil hacer comentarios, ya que no está claro cuál es el modelo de compra que se supone. En particular, no está claro para qué sirve la función de "correo electrónico en blanco". ¿Está intentando verificar su dirección de correo electrónico?

El método más habitual es permitir que el usuario ingrese una dirección de correo electrónico en un formulario web y luego reciba un correo con un token o URL que confirma que lo recibió. Creo que la mayoría de las personas probablemente encontraría que enviar un correo electrónico para solicitar el token de respuesta es menos conveniente que el modelo de formulario web típico.

Hay razones para querer hacer una verificación de la dirección de correo electrónico, pero ninguna que realmente constituya seguridad adicional para un simple formulario de procesamiento de pagos. Si le preocupan los ataques de fuerza bruta contra el campo CVV2, entonces (a) esa es normalmente la preocupación del sistema de pago, no la suya; (b) las direcciones de correo electrónico no son un recurso escaso (cualquiera puede crear millones de ellas al instante), por lo que verificar las direcciones y limitar los intentos por dirección no es una forma efectiva de limitar la tasa.

Su paso (2) hace que parezca que está sirviendo la página que contiene el formulario para ingresar el número de tarjeta de crédito (PAN). ¿No es esto algo que también maneja el procesador de pagos? Si usted mismo está aceptando los PAN, está pensando en los importantes requisitos de PCI-DSS, ¿está seguro de que eso es lo que quiere?

    
respondido por el bobince 24.11.2014 - 21:59
fuente

Lea otras preguntas en las etiquetas