N>>сайты — ну, скажем, yoox, www.wsdot.wa.gov, pse.com, http://www.seattle.gov/light/
S>Эти — http://www.seattle.gov/light/ пользуются услугами платежного шлюза.
ок, эти пользуются, их вычеркиваем.
S>По остальным сложно сделать вывод — сами они обрабатывают платежи или тоже пользуются сертифицированным платежным шлюзом.
по остальным — меня не перенаправляют на другие страницы при оплате (происходит то же, что, скажем, на амазоне — ввел данные и оплатил)
S>>>Потому что для авторечарджа есть методы, для которых полный номер не нужен. N>>что за методы (за исключением "номер сохраняется, но не у нас") и что нужно?
S>Этот метод и имел ввиду. Передача номера карты в сертифицированный платежный шлюз и последующие платежи с использованием полученного токена.
Это здорово, но то, что я вижу, говорит о том, что этим пользуются не все.
Здравствуйте, мыщъх, Вы писали:
М>кстати, сейчас требования резко ужесточили. и ответственность теперь такая, что если вас хакнут, а вы сохраняли нормера кредиток, то это раньше вы спишите убытки с налогов, а сейчас вас могут за преступную халатность отправить в компанию приятных не(молодых) людей. если, конечно, у вас не работает зиц-председатель, тьфу, безопасник, который все наладил и который за все отвечает.
М>кстати, помните нашумевшую систему с аэрофлотом, который внезапно перестал принимать кредитные карты к оплате? никто же и не знал что даже аэрофлот (это такая мелкая компания, да) не обрабатывает кредитки сам, а делает это через посредника в лице ассита с конкурентов в лице хронопэй.
мне требуется именно что хранить номера кредиток, т.к. наша система будет являться эмитентом и сама выпускать эти номера, ну и заодно хранить номера других кредиток для платежей. Все что ты написал конечно звучит угрожающе, но насколько я сейчас понимаю штрафные санкции будут наложены только в случае несоответствия стандартам PCI, чего не должно случиться т.к. виза и мастеркард просто не будут работать с эмитентами которые не прошли их собственную сертификацию.
Аэрофлот конечно серьезная контора, но ее основная задача летать самолетами, а не заниматься кибербезопасностью и проходить бесконечные аудиты, так что неудивительно что они пользуются услугами гейтвеев. А вот как раз все эти пеймент гейтвеи которые хранят номера кредиток и не обладают громкими названиями как Аэрофлот, как-то с хранением этих номеров справляются, как собственно и все банки, что в России что зарубежом. Вот собственно вопрос и был, какую они архитектуру для этого юзают и какие подходы
Здравствуйте, nigh, Вы писали:
М>>хранение нормеров кредиток прямо на сервере -- это грубое нарушение. хранить-то гугл может, но не на сервере. да и зачем ему это?
да не нарушение это никакое, если храниться по стандартам, например закриптовано должно быть
Здравствуйте, Stalker., Вы писали:
М>>>хранение нормеров кредиток прямо на сервере -- это грубое нарушение. хранить-то гугл может, но не на сервере. да и зачем ему это?
S>да не нарушение это никакое, если храниться по стандартам, например закриптовано должно быть
Если это ваши собственные карты, то, разумеется не нарушение, так как стандарты тоже ваши. А их просто нет, раз ты спрашиваешь.
Судя по всему, вы не кредитная организация, значит это просто дисконтные карты или что-то подобное. А для них совсем другая модель угроз и соответственно правила работы с ними.
Здравствуйте, wildwind, Вы писали:
W>Если это ваши собственные карты, то, разумеется не нарушение, так как стандарты тоже ваши. А их просто нет, раз ты спрашиваешь. W>Судя по всему, вы не кредитная организация, значит это просто дисконтные карты или что-то подобное. А для них совсем другая модель угроз и соответственно правила работы с ними.
планируется система-эмитент кредитных карт, мастеркард или виза или обоих, так что номера настоящие и надо сделать так, что-бы не хакнули, кроме того система будет осуществлять платежи, так что кредитки других банков тоже в ней будут лежать.
Тут в топике упоминались токены, и возможно для кредиток других банков действительно можно заюзать такой подход, но зависит от стоимости такой услуги, если пеймент гейтвеи будут драть 3 шкуры за токенизацию — то такой подход тогда не прокатит, т.к. мы сами будет жить на тонкой прослойке разницы процентов. Но свои собственные номера все равно надо будет защищать, поэтому и вопрос как к этому подходят в кредитных организациях и банках
Здравствуйте, Stalker., Вы писали:
S>Тут в топике упоминались токены, и возможно для кредиток других банков действительно можно заюзать такой подход, но зависит от стоимости такой услуги, если пеймент гейтвеи будут драть 3 шкуры за токенизацию — то такой подход тогда не прокатит, т.к. мы сами будет жить на тонкой прослойке разницы процентов. Но свои собственные номера все равно надо будет защищать, поэтому и вопрос как к этому подходят в кредитных организациях и банках
Не будете вы так жить. Конкуренты без денег на этом рынке выживаются на раз-два-три.
Здравствуйте, hi_octane, Вы писали:
_>Велосипедов нету потому что и VISA и MC (думаю и все мелкие тоже) прямо запрещают хранить и обрабатывать номера кредиток. Собственно если ты не банк-эмитент то дальнейшее развитие темы хранения номеров (даже без обработки) идёт по той же статье что и у обычных кардеров.