Asegurar un sitio de comercio electrónico

8

Estoy creando un sitio de comercio electrónico personalizado, y el usuario ingresará los detalles de su tarjeta de crédito en el sitio en lugar de dirigirse al sitio de la pasarela de pago.

Estoy confundido en cuanto a cuáles son los pasos críticos que debo tomar para asegurar la transacción con tarjeta de crédito.

Obviamente, las pasarelas de pago intentan vender certificados SSL, pero tengo entendido que el objetivo principal de estos es proporcionar autenticación y no cifrar los datos de la tarjeta de crédito. / ¿Qué pasos debo seguir para garantizar que la información de la tarjeta de crédito del cliente (y otra información que se transmite a través de XML a la pasarela de pago) sea segura?

Gracias

    
pregunta AviD 19.12.2010 - 06:32
fuente

3 respuestas

9

@Jeremy, lo primero que debe hacer es leer PCI-DSS .
Eso debería proporcionar una muy buena lista de verificación para principiantes. Además, realmente no tiene una opción en el asunto, si desea aceptar tarjetas de crédito, debe cumplir con PCI.

De hecho, sería mejor que NO acepte tarjetas de crédito y que otro servicio lo haga por usted: Paypal, pasarelas de pago, lo que sea. Después de revisar PCI, probablemente estés de acuerdo conmigo ...

Aquí hay algunos puntos destacados, LEJOS de estar completos:

  • Proteja todas las comunicaciones, utilizando SSL / TLS con los certificados, incluidos encriptación y autenticación (del servidor)
  • Autentica a todos los usuarios (mucho trabajo alrededor de la política de contraseñas y demás)
  • Controle el acceso a la aplicación, los servidores y la base de datos
  • Nunca almacene los detalles de la tarjeta de crédito, solo PAN encriptados
  • Nunca almacene datos de seguimiento, CVV, etc. EN TODO
  • Asegure su sitio para que no sea fácil de romper
  • Monitoreo, políticas, etc., etc. y mucho más ...
respondido por el AviD 19.12.2010 - 07:40
fuente
6

Para agregar a las respuestas ya dadas, si va a procesar los detalles de la tarjeta de crédito, vale la pena revisar el OWASP Top 10 y asegúrese de estar tomando en cuenta todos los riesgos allí (demostrando que eso también puede ayudar con el cumplimiento de su PCI).

Para obtener más información en profundidad sobre ese aspecto de las cosas, también puede consultar Desarrollo de OWASP Guía.

FWIW Estoy de acuerdo con @AviD en que si puede evitar el procesamiento de la información de la tarjeta de crédito, hará su vida mucho más sencilla desde el punto de vista del cumplimiento y probablemente desde una perspectiva de seguridad.

    
respondido por el Rоry McCune 19.12.2010 - 20:57
fuente
1

Si está creando un sitio de comercio electrónico, debería darse cuenta de la responsabilidad que debe manejar. En este punto, le sugiero que ejecute auditoria de seguridad y pentest (ambos no son iguales). Claro, no debe confiar solo en las soluciones y sugerencias de los proveedores de seguridad, ya que lo que estoy recomendando es una verificación posterior.

@AviD mencionó PCI-DSS, ¿cuál es la clave de la solución robusta de integridad y seguridad de los datos del usuario? Sin embargo, muchos desarrolladores no cumplen todos los requisitos estándar. Por eso, si no está seguro de cómo comenzar, qué hacer o simplemente quiere sentirse seguro, le recomiendo que se dirija a la compañía que realizaría los controles de seguridad.

Actualización: solo para aclarar, lo que estoy recomendando son pasos que se deben seguir después de crear la aplicación, cuando piense que está listo para comenzar a ejecutarla para una amplia audiencia. Más adelante, se podría revelar que no está listo en absoluto y requiere varios pasos de revisión.

    
respondido por el anonymous 19.12.2010 - 13:39
fuente

Lea otras preguntas en las etiquetas