¿La información de la tarjeta de crédito se envía a través de HTTP? [duplicar]

Sí, es un gran problema. Es inseguro y es una violación de PCI DSS 4.1:

4.1 Use strong cryptography and security 
protocols (for example, SSL/TLS, IPSEC, 
SSH, etc.) to safeguard sensitive 
cardholder data during transmission over 
open, public networks. 

Puede notificarles que están fuera de cumplimiento, pero es probable que ya lo sepan. Si puede determinar quién es su adquirente o procesador, puede intentar notificarles, ya que son los que realmente reciben una multa si se produce una infracción (... y luego pasan las multas al comerciante involucrado) . Sin embargo, en general, la estructura de las PCI DSS está diseñada para fomentar la seguridad y castigar a las partes responsables, no para hacer cumplir la seguridad.

El primer mandamiento del comercio electrónico es:

  

Debes usar HTTPS.

PCI DSS requiere que la información del titular de la tarjeta que se envíe a través de redes públicas abiertas esté debidamente encriptada (§ 4.1).

  

Para implementaciones de SSL / TLS, examine las configuraciones del sistema para verificar que SSL / TLS esté habilitado cada vez que se transmitan o reciban datos del titular de la tarjeta. Por ejemplo, para implementaciones basadas en navegador:

     

• "HTTPS" aparece como el protocolo del localizador universal de registros (URL) del navegador, y
  
• Los datos del titular de la tarjeta solo se solicitan si "HTTPS" aparece como parte de la URL.
  

No puede hacer esto, y cualquier persona entre los dos puntos finales (usted y el sitio web, en este caso) puede arrebatar la información de su tarjeta de crédito.

Esto es casi seguro que es una violación del acuerdo del comerciante con su banco / proveedor de cuenta mercantil.

Sí, este es un problema grave. No solo los datos pueden acceder fácilmente a los datos que detectan la conexión, sino que el uso de HTTPS es una medida tan básica que no usarlos indica que no tienen idea de lo que están haciendo y que existe una gran posibilidad de que incluso los problemas más grandes también estar presente. Por ejemplo, esperaría que un sitio web que aceptara datos de tarjetas de crédito a través de HTTP los almacenara de una manera igualmente estúpida e insegura. Me mantendría lejos, lejos de cualquier comerciante que pudiera implementar algo tan básico como este.

Adicional, como @itscooper mencionó en el comentario, esto es una clara violación de PCI-DSS, y podrían ser multados o perder su cuenta de comerciante (y la capacidad de aceptar tarjetas de crédito) por ello.

Desde una perspectiva técnica, presenta un riesgo de seguridad significativo para los datos de los titulares de tarjetas. Será transportado a través de internet en texto claro. Cualquier entidad maliciosa que esté monitoreando el tráfico a lo largo de esta ruta podría capturar el PAN y otros detalles de la tarjeta. Las personas que realizan pagos mientras se encuentran en redes públicas / abiertas o redes privadas comprometidas (por ejemplo, hogar / trabajo) serían las más vulnerables.

Desde una perspectiva de cumplimiento, todas las entidades que procesan, almacenan o transmiten datos del titular de la tarjeta deben cumplir con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El requisito 4.1 es el siguiente:

  

Use criptografía y protocolos de seguridad sólidos (por ejemplo, SSL / TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas ...

enlace

Según tengo entendido, el banco adquirente puede ser multado por incumplir estos requisitos, que es probable que pasar al comerciante.

Definitivamente es un problema. No solo pone en riesgo los datos de la tarjeta del cliente (el suyo), sino que es una violación del acuerdo del comerciante con su procesador de tarjeta, lo que siempre requiere el cumplimiento de PCI y uno de los requisitos es que los datos de la tarjeta se cifren al pasar por las redes públicas. / p>