האם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API
-
האם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API
כאשר לחברה יש את כל מה שצריך
לאתר יש ssl
ונשלח https -
אם אני לא מאחסן כלום
רק משלב את המשתנים שקבלתי מטופס התשלום לתוך curl ושלוח ב API
יש משהו שיכול לדלוף ? -
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
אייפריים
@clickone סליחה על השאלה אבל מה זה "אייפריים"
עיקר השאלה שלי היתה לפני שלב הטוקן,
הרי גם לקבל את הטוקן אני צריך לשלוח קודם את מספר הכרטיס ? -
@יוס דרך איזה חברת סליקה אתה עובד?
הרעיון הוא שאתה שולח מהשרת שלך בקשת API ומקבל לינק ייחודי, שאותו אתה יכול לפתוח כאייפריים בתוך האתר שלך,
בעצם ככה אתה פותח דף בתוך הדף שלך, בתוך הדף הזה, של הסולק, משתמש הקצה מקליד את המספר אשראי שלו, וזה באחריות הסולק ולא באחריותך
אח"כ אתה מקבל מאחורי הקלעים את הטוקן.
כמובן שאתה יכול גם לבצע עסקת חיוב וכו בתוך האייפריים -
-
תודה על ההסבר המפורט,
אכן זה נכון לגבי חברות סליקה רגילות
אך במקרה הספציפי הזה מדובר בנדרים פלוס,
האם ידוע לך האם יש שם כזו אפשרות ? -
לא חושב שיש לנדרים IFrame מותאם,
בכל אופן כמובן שאתה צריך לעמוד בתקן PCI, אך כמו ש@dovid אמר זה לא חובה. אבל חברת האשראי עלולה לעשות לך בעיות ולסגור לך את המסוף.אני אישית גם משתמש לצרכים מסויימים ב API מול נדרים. אך ייתכן שכדאי לך לבדוק אפשרויות של חברות שמכוונות לקהל המפתחים, שנותנים סליקה ב IFRAME ובRedirect
-
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
אולי יש לו גם אייפריים (אני לא יודע)
@מנצפך
יש לו משהו חדש ומאוד משוכלל.
רק אציין שאולי @יוס צריך את זה לסליקה דרך הטלפון, וא"כ כל הנ"ל לא רלוונטי והשאלה הראשונה בעינה עומדת -
@חוקר אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
משהו
אני יסביר בקצרה מה אני צריך
אמנם אני בונה לזה גם מערכת טלפונית
אך מה שאני שואל זה לגבי אתר ניהול למנהלים ששם הם רוצים אפשרות להכניס תרומות באופן ידני
ועל זה נסובה שאלתי,
והלקוח רוצה לעבוד דוקא איתם (בגלל אפשרות ההתרמה בעמדות הזמינות לכולם)
(אכן הרבה יותר יעיל לעבוד עם חברות רגילות שמספקות הכל ב API) -
nigunהשיב לclickone ב 2 ביולי 2020, 10:22 נערך לאחרונה על ידי nigun 7 בפבר׳ 2020, 10:22
@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:
@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?
אם משתמשים באייפריים ומישהו פורץ לאתר המפנה, ומזריק JS לדף , הוא לא יכול לשלוף נתונים שמועברים לאייפריים?
(רק שואל, אין לי מושג, אני לא מבין כ"כ באבטחת מידע) -
רוצה לבדוק ?
תכתוב JS כזה ונבדוק האם זה יצליח לצוטט -
-
@nigun
אין לו מה לשלוף / לשנות כ"כ
כי את המספר אשראי הוא יכול לדגום את ההקשות על המקלדת
ושוב, הרעיון של האייפריים שאת האחריות לדברים האלה הסולק לוקח ולא אתהמן הסתם כמו תמיד הם מגינים על עצמם גם בזה
באיזה סעיף שכוח בחוזה......
-
לגבי iframe, לא ניתן לקחת נתונים מתוך iframe שמפנה ל HTTPS
-
@nigun לדפדפן יש מדיניות אבטחה קשוחה לגבי iframe.
הדף המארח לא יכול לשנות שום דבר באייפרם, לא להזריק סקריפטים או css וכדו'.
הדפדפן טוען רק את הקבצים שהאייפרם מפנה אליהם, ורק להם יש יכולת לשנות אותו, כך שאכן האחריות עוברת אל החברה הסולקת, כמו ש@clickone כתב, כיון שהיא היחידה שיכולה להחליט מה הדף יטען.אם תנסה לגשת לאייפרם מתוך הדף המארח ולשנות לו אפי' עיצוב של css תראה שאתה לא מצליח..
1/19