Есть-ли какие-нибудь ресурсы описывающие современные архитектуры безопасности при работе с кредитками? Требуется создать систему которая хранит и обрабатывает номера кредиток, думаю изобретено уже достаточно велосипедов на эту тему
Здравствуйте, Stalker., Вы писали:
S>Есть-ли какие-нибудь ресурсы описывающие современные архитектуры безопасности при работе с кредитками? Требуется создать систему которая хранит и обрабатывает номера кредиток, думаю изобретено уже достаточно велосипедов на эту тему
Здравствуйте, wildwind, Вы писали:
W>Здравствуйте, Stalker., Вы писали:
S>>Есть-ли какие-нибудь ресурсы описывающие современные архитектуры безопасности при работе с кредитками? Требуется создать систему которая хранит и обрабатывает номера кредиток, думаю изобретено уже достаточно велосипедов на эту тему
W>Google("PCI DSS")
Здравствуйте, Stalker., Вы писали:
S> DOO>PA DSS, если быть точным.
S> не, про эти стандарты я слышал, интересуют реальные примеры как люди архитектуру делают, например в банках для защиты таких данных
Проще всего сделать хранение криптограмм, а не самих данных.
Правда шифрование надо делать на таких устройствах, как HSM.
Здравствуйте, Stalker., Вы писали:
S>не, про эти стандарты я слышал, интересуют реальные примеры как люди архитектуру делают, например в банках для защиты таких данных
S>Есть-ли какие-нибудь ресурсы описывающие современные архитектуры безопасности при работе с кредитками? Требуется создать систему которая хранит и обрабатывает номера кредиток, думаю изобретено уже достаточно велосипедов на эту тему
Велосипедов нету потому что и VISA и MC (думаю и все мелкие тоже) прямо запрещают хранить и обрабатывать номера кредиток. Собственно если ты не банк-эмитент то дальнейшее развитие темы хранения номеров (даже без обработки) идёт по той же статье что и у обычных кардеров.
Если же ты банк-эмитент — то поищи в кладовке мануалы от VISA и MC на тему того как должно быть. Они их дают и потом ещё присылают своих аудиторов проверить что ты всё не хуже сделал.
Nemerle — power of metaprogramming, functional, object-oriented and imperative features in a statically-typed .NET language
Здравствуйте, hi_octane, Вы писали:
_>Велосипедов нету потому что и VISA и MC (думаю и все мелкие тоже) прямо запрещают хранить и обрабатывать номера кредиток. Собственно если ты не банк-эмитент то дальнейшее развитие темы хранения номеров (даже без обработки) идёт по той же статье что и у обычных кардеров.
Как интересно. А интернет-магазины, сайты авиакомпаний, скайпы и прочите товарищи, принимающие кредитки в онлайне — они как, банки-эмитенты или сразу кардеры? Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа.
Здравствуйте, nigh, Вы писали:
N>Здравствуйте, hi_octane, Вы писали:
N> Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа.
сохранять нормера кредиток можно. управлять авто можно. управлять авто без прав тоже можно, но до тех пор пока не поймают. а еще машина должна быть застрахована, а еще проведена инспекция.
вопрос: можно ли управлять авто, которое вы сами собрали из гуана и палок в гараже? ведь сабжевый вопрос именно за самостоятельную разработку и если вникать в сферу регулирования производителей авто, то можно и умом поехать. тут даже готовое внедрить не так просто и это как сдача на права.
кстати, сейчас требования резко ужесточили. и ответственность теперь такая, что если вас хакнут, а вы сохраняли нормера кредиток, то это раньше вы спишите убытки с налогов, а сейчас вас могут за преступную халатность отправить в компанию приятных не(молодых) людей. если, конечно, у вас не работает зиц-председатель, тьфу, безопасник, который все наладил и который за все отвечает.
кстати, помните нашумевшую систему с аэрофлотом, который внезапно перестал принимать кредитные карты к оплате? никто же и не знал что даже аэрофлот (это такая мелкая компания, да) не обрабатывает кредитки сам, а делает это через посредника в лице ассита с конкурентов в лице хронопэй.
поэтому когда вы говорите что кто-то умеет сохранять номера кредиток, то вопрос -- а кто это? вы уверены, что это делает именно та компанмя, которая это делает?
а веб-мастерам-то и не сказали? мужики-то и не знают! и палят контору, когда сохраняют данные у себя, а обработку поручают внешней платежной системе. это работает потому что полиция не бегает и не анализирует исходные коды всех веб-магазинов. но это до первого взлома. а после взлома начинаются суровые разборки, особенно если хакеры успели вывести часть денег и теперь кто-то должен компенсировать пострадавшим владельцам карт транзакции, которых они не совершали. и раздача людей идет со свистом по всей строгости закона.
хотя все равно данные кредиток сохраняют все кому не лень. это примерно как спорить с полицейским: "я превысил?! та що вы говорите! я шел не быстрее траффика!!! по вашеу все превышают?! знак? какой знак? нет, не видел. и спидометра у меня нет, я же машину сам собирал своими руками. зачем мне спидометр".
так что ваша аргументация несостоятельна. нельзя равняться на других. особенно при работе с деньгами. особенно, когда это безналичные деньги.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, nigh, Вы писали:
N>>Здравствуйте, hi_octane, Вы писали:
N>> Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа. М>поэтому когда вы говорите что кто-то умеет сохранять номера кредиток, то вопрос -- а кто это? вы уверены, что это делает именно та компанмя, которая это делает?
ну, навскидку — скайп, амазон, google pay, paypal, expedia, microsoft store, google adcenter — там судя, по всему, номера кредиток хранятся прямо на серверах компаний. Многие мелкие магазины пользуются большими процессинговыми центрами, чтобы самим в этом не лезть.
Здравствуйте, nigh, Вы писали:
N>Здравствуйте, мыщъх, Вы писали:
М>>Здравствуйте, nigh, Вы писали:
N>>>Здравствуйте, hi_octane, Вы писали:
N>>> Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа. М>>поэтому когда вы говорите что кто-то умеет сохранять номера кредиток, то вопрос -- а кто это? вы уверены, что это делает именно та компанмя, которая это делает? N>ну, навскидку — скайп, амазон, google pay, paypal, expedia, microsoft store, google adcenter — там судя, по всему,
я приводил в качестве примера аэрофлот, который использовал для этих целей асист. так что "судя по всему" это не аргумент. хранит ли гугл нормера кредиток лично сам или пользуется услугами посредников -- могут сказать лишь инсайдеры и в любой момент времени гугл может как посылать посредников и делать все самим, так и забивать болт на самостоятельную разработку и вновь нанимать посредников.
N> номера кредиток хранятся прямо на серверах компаний.
хранение нормеров кредиток прямо на сервере -- это грубое нарушение. хранить-то гугл может, но не на сервере. да и зачем ему это?
нормальная схема это: гугл передает данные кредитки дяде степе вместе с id кастомера. дядя степа списывает со счета васи пупкина запрошенную гуглом сумму и в дальнейшем ему от гугла нужен только id.
paypal не хранит данные моей кредитки, т.к. каждый раз для списывания денег paypal говорит, что щас будет окно моей финансовой организации и ведь действительно! появляется окно с логотипом банка куда нужно ввести секьюрный код и срок годности карты. так что этих данных у него нет.
> Многие мелкие магазины пользуются большими процессинговыми центрами, чтобы самим в этом не лезть.
с мелкими по факту получаются взаимоисключающие параграфы. у многих мелких до сих пор нет ничего умнее копирки. вы даете им карту, а они прокатывают ее по копировальной бумаге и потом несут эти данные в процессинговый центр. по факту они их (данные) сохраняют у себя в незашифрованном виде. но это результат того, что требуется обратная совместимость...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
N>> номера кредиток хранятся прямо на серверах компаний. М>хранение нормеров кредиток прямо на сервере -- это грубое нарушение. хранить-то гугл может, но не на сервере. да и зачем ему это? М>нормальная схема это: гугл передает данные кредитки дяде степе вместе с id кастомера. дядя степа списывает со счета васи пупкина запрошенную гуглом сумму и в дальнейшем ему от гугла нужен только id.
Гугл хранит все на своих серверах, о чем вполне точно говорит в своих license agreementах.
М>paypal не хранит данные моей кредитки, т.к. каждый раз для списывания денег paypal говорит, что щас будет окно моей финансовой организации и ведь действительно! появляется окно с логотипом банка куда нужно ввести секьюрный код и срок годности карты. так что этих данных у него нет.
этта. Номер-то, номер кредитки вам вводить не надо? он у пейпала откуда-то берется? Скайп как-то авторечардж сам делает?
>> Многие мелкие магазины пользуются большими процессинговыми центрами, чтобы самим в этом не лезть. М>с мелкими по факту получаются взаимоисключающие параграфы. у многих мелких до сих пор нет ничего умнее копирки. вы даете им карту, а они прокатывают ее по копировальной бумаге и потом несут эти данные в процессинговый центр. по факту они их (данные) сохраняют у себя в незашифрованном виде. но это результат того, что требуется обратная совместимость...
У мелких товарищей вроде платежей за utilties просто хранение инфы на своих серверах пока не поймали — по факту.
Здравствуйте, nigh, Вы писали:
N>Здравствуйте, мыщъх, Вы писали:
N> Гугл хранит все на своих серверах, о чем вполне точно говорит в своих license agreementах.
гугл не говорит нам как он это хранит. гугл требует нашего согласия, поскольку свои данные мы передаем ему и гугл отвечает за них. на сервере это точно хранить нельзя во всяком случае последние год или два.
N> этта. Номер-то, номер кредитки вам вводить не надо?
надо. paypal хранит только последние 4 цифры.
N> он у пейпала откуда-то берется? Скайп как-то авторечардж сам делает?
скайп передает ваши данные процессинговому центру вместе с вашим id и хранит у себя только ваш id, а дальше обращается в процессинговый центр, передавая только id (ну и сумму ес-но). во всяком случае так должно быть. после взлома таргета и других крупных сетей мы знаем, что "должно быть" != "как оно есть в действительности". а как банки мстят тем, кто делает не как положено -- когда мои банки стали насильно внедрять чиповые карты они убеждали меня что вот эти транзакции -- левые и для моей защиты нужно отменить транзакцию и перевыпустить карту. для меня это бесплатно. я им звонил и говорил, что совершал эти транзакции и зачем их отменять? а их все равно отменили как фрод. типа бесплатные подарки по каждой карте на суммы от $50. мелочь, но если помножить на кол-во клиентов, то сначала таргет нагнул банки тем что хранил у себя данные и тем что его хакнули, а потом банки его нагнули, насильно пометив транзакции как фрод и вернув деньги кардхолдерам даже когда там был ни разу не фрод.
N>У мелких товарищей вроде платежей за utilties просто хранение инфы на своих серверах пока не поймали — по факту.
так я и говорю, что и водить авто с превышением скорости можно очень долго но это не значит, что так и нужно. а как нужно -- правила постоянно меняются и потому инфраструктуру для обработки кредитных карт нужно или писать самому и самому же постоянно менять или все-таки пользоваться "извозчиками". ну или тупо забить болт и надеяться что пронесет.
ЗЫ. гугл-хром предлагает сохранять данные кредиток. зимой шел по улице и увидел плакат что на нашем хуторе публичные слушания по делу джон смит и сыновья против гугла за несекьерное сохранение данных о кредиток в браузере и неиформирование юзеров о возможных последствиях нажатия на батон "согласен, сохраняйте". хотя это вопрос сохранения данных на клиентской стороне, но вот нашелся желающий посудиться по месту своего проживания и теперь гуглу или посылать юристов на наш хутор или за неявку в суд его разделают под орех юристы истца.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали: М>paypal не хранит данные моей кредитки, т.к. каждый раз для списывания денег paypal говорит, что щас будет окно моей финансовой организации и ведь действительно! появляется окно с логотипом банка куда нужно ввести секьюрный код и срок годности карты. так что этих данных у него нет.
Вроде бы вся идея пейпала что ты регистрируешь у него свою кредитку со всеми нужными кодами и датами и он потом платит за тебя сам когда его попросишь об этом. возможно даты и секьюрные коды можно ему не давать, тогда надо будет их все время вводить.
N>Как интересно. А интернет-магазины, сайты авиакомпаний, скайпы и прочите товарищи, принимающие кредитки в онлайне — они как, банки-эмитенты или сразу кардеры? Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа.
На конторы уровня скайп (мс), гугл, пэйпал, valve — правила могут не распространяться. Вполне допускаю что у них свои отношения из-за объёмов.
Обычные интернет-магазины и прочие сайты принимающие кредитки в онлайне — только и могут что перенаправить запрос через какую-нить контору мерчанту, который и организует связь с другими банками, списание, и т.п.
Авторечарж должен делаться не сайтом какой-то конторы, а данные речаржа должны идти в базу (тут деталей не знаю — базу эмитента или базу банка который даёт мерчант). А конторе остаётся только токен по которому можно проверить чаржится ли следующий период или отменить подписку. При этом появляются такие плюшки как сохранение авторечаржа если карту перевыпускают с сохранением номера. Отсюда трик — так можно запалить конторы которые нарушают правила, тогда при перевыпуске карты авторечарж отваливается — cvv и дата окончания действия сменяются.
Некоторые кто перерос регистратора но не дорос до мерчанта, из-за жадности хранят карты в своей базе, допусти mysql, а саму базу держат надёжном месте, например в корне htdocs. Потому что если покупка сопровождается каждый раз вбиванием то это мало денег, а если в один клик — то много. Но потом, когда утечка происходит (а она рано или поздно происходит) — нагибаторы налетают, объясняют что были допущены тыщи нарушений, и оставляют умника без резинки от трусов. История становления этой технологии (в 90-е ещё), знает случаи когда базу воровали у одних, а объявляли крайними и раздевали других — у кого нашли хранение раньше — тот и лузер.
Nemerle — power of metaprogramming, functional, object-oriented and imperative features in a statically-typed .NET language
Здравствуйте, hi_octane, Вы писали:
N>>Как интересно. А интернет-магазины, сайты авиакомпаний, скайпы и прочите товарищи, принимающие кредитки в онлайне — они как, банки-эмитенты или сразу кардеры? Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа. _>На конторы уровня скайп (мс), гугл, пэйпал, valve — правила могут не распространяться. Вполне допускаю что у них свои отношения из-за объёмов.
судя по тому, что я вижу, хранят номер у себя все подряд, начиная с мелких utility компаний, заканчивая сервисами оплаты толлов. Все в начале просят нажать accept на длинный текст, что я согласен и претензий не имею.
_>Обычные интернет-магазины и прочие сайты принимающие кредитки в онлайне — только и могут что перенаправить запрос через какую-нить контору мерчанту, который и организует связь с другими банками, списание, и т.п.
да, это делают многие, но не все. те, кто делает речардж, обычно хранит номер / exp date у себя. по крайней мере, это так выглядит для меня, как для юзера. Я предполагаю самое простое решение, а не полностью скрытое общение с третьей стороной для доставания моих данных
_>Авторечарж должен делаться не сайтом какой-то конторы, а данные речаржа должны идти в базу (тут деталей не знаю — базу эмитента или базу банка который даёт мерчант). А конторе остаётся только токен по которому можно проверить чаржится ли следующий период или отменить подписку.
Противоречит тому, что я вижу.
>При этом появляются такие плюшки как сохранение авторечаржа если карту перевыпускают с сохранением номера. Отсюда трик — так можно запалить конторы которые нарушают правила, тогда при перевыпуске карты авторечарж отваливается — cvv и дата окончания действия сменяются.
вот именно это я и вижу везде но лично мне в целом пофиг — это проблемы контор и моего банка, который гарантирует zero liability.
_>Некоторые кто перерос регистратора но не дорос до мерчанта, из-за жадности хранят карты в своей базе, допусти mysql, а саму базу держат надёжном месте, например в корне htdocs. Потому что если покупка сопровождается каждый раз вбиванием то это мало денег, а если в один клик — то много. Но потом, когда утечка происходит (а она рано или поздно происходит) — нагибаторы налетают, объясняют что были допущены тыщи нарушений, и оставляют умника без резинки от трусов. История становления этой технологии (в 90-е ещё), знает случаи когда базу воровали у одних, а объявляли крайними и раздевали других — у кого нашли хранение раньше — тот и лузер.
В целом это довольно интересная информация, спасибо. Особенно интересно, что на это все равно все кладут, хотя закон и правила действительно есть.
Здравствуйте, nigh, Вы писали:
N>Как интересно. А интернет-магазины, сайты авиакомпаний, скайпы и прочите товарищи, принимающие кредитки в онлайне — они как, банки-эмитенты или сразу кардеры? Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа.
А ты уверен, что они сохраняют полный номер кредитки?
Можешь привести пример, где сайт при повторном посещении вводит за тебя полный номер и это не автозаполнение браузера?
Потому что для авторечарджа есть методы, для которых полный номер не нужен.
Здравствуйте, seregaa, Вы писали:
S>Здравствуйте, nigh, Вы писали:
N>>Как интересно. А интернет-магазины, сайты авиакомпаний, скайпы и прочите товарищи, принимающие кредитки в онлайне — они как, банки-эмитенты или сразу кардеры? Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа.
S>А ты уверен, что они сохраняют полный номер кредитки? S>Можешь привести пример, где сайт при повторном посещении вводит за тебя полный номер и это не автозаполнение браузера?
ну я могу отличить автозаполнение браузера от галочки "сохранить номер моей кредитки для будуших покупок". Более того, design guidelines для процессинга карточек четко запрещают включать автозаполнение для полей ввода номеров кредиток. Есть даже специальный html аттрибут для этого (https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion).
сайты — ну, скажем, yoox, www.wsdot.wa.gov, pse.com, http://www.seattle.gov/light/
S>Потому что для авторечарджа есть методы, для которых полный номер не нужен.
что за методы (за исключением "номер сохраняется, но не у нас") и что нужно?
Здравствуйте, nigh, Вы писали:
N>Здравствуйте, seregaa, Вы писали:
S>>Здравствуйте, nigh, Вы писали:
N>>>Как интересно. А интернет-магазины, сайты авиакомпаний, скайпы и прочите товарищи, принимающие кредитки в онлайне — они как, банки-эмитенты или сразу кардеры? Некоторые еще — о ужас! — умеют номера кредиток сохранять и использовать для авторечарджа.
S>>А ты уверен, что они сохраняют полный номер кредитки? S>>Можешь привести пример, где сайт при повторном посещении вводит за тебя полный номер и это не автозаполнение браузера? N>ну я могу отличить автозаполнение браузера от галочки "сохранить номер моей кредитки для будуших покупок". Более того, design guidelines для процессинга карточек четко запрещают включать автозаполнение для полей ввода номеров кредиток. Есть даже специальный html аттрибут для этого (https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion).
N>сайты — ну, скажем, yoox, www.wsdot.wa.gov, pse.com, http://www.seattle.gov/light/
По остальным сложно сделать вывод — сами они обрабатывают платежи или тоже пользуются сертифицированным платежным шлюзом.
S>>Потому что для авторечарджа есть методы, для которых полный номер не нужен. N>что за методы (за исключением "номер сохраняется, но не у нас") и что нужно?
Этот метод и имел ввиду. Передача номера карты в сертифицированный платежный шлюз и последующие платежи с использованием полученного токена.