הצפנת כרטיסי אשראי - חוו"ד חברי הפורום

zvinissim

במערכת יצירת עסקאות שאני כותב אני צריך לשמור את מספר כרטיס האשראי של הלקוח בכדי שאנשי ה-Back office יוכלו לשחזר את המספר לצורך סיום העסקה במועד מאוחר יותר.

לצורך העניין יש לי חשיבה לביצוע של שמירת מספר הכרטיס בצורה כזו:
לקחת את מספר הכרטיס ולשמור בטבלה של העסקאות רק את 4 ספרות האחרונות של הכרטיס.
את שאר הספרות (מה-5 מימין ועד סוף המחרוזת) לייצר נוסחת הצפנה עם אותיות ומספרים ולשמור את התוצאה במיקום אחר במערכת (בטבלה אחרת או בסיס נתונים בנפרד כאשר בסיס הנתונים מוגן בסיסמה מספיק חזקה).
במידת הצורך ואנשי ה-Back office ממשיכים את סיום העסקה המערכת תוכל לשחזר את מס' הכרטיס האשראי להמשך סיום העסקה.

יובהר: שהמערכת אינה עושה סליקת אשראי אלא רק מבצעת עסקאות לקוח לגבי חברה צד ג' ולכן יש לשמור את המספר בכדי לעדכנו בחברה שהנציג עובד בשבילו'.

מה הסבירות שפתרון לעיל עובר ייעוץ משפטי חיובי ואישור של חברות כרטיסי אשראי.
כמו כן, מה נראה לכם רמת הסיכון שאדם כלשהו יקח את המאגר ויצליח לפענח את המספר וישתמש בו לרעה לפי פתרון זה.

בנוסף לכך הנני להבהיר שאיני מעוניין לעבור על שם חוק כרטיסי אשראי ו/או על התקנות אלא לנסות למצא נוסחה שתאפשר לי לשמור את מספר הכרטיס ללא תלות של שרת טוקנטציה של חברה חיצונית .

אשמח לקבל ולשמוע את תגובת חברי הפורום לנושא.

פורסם במקור בפורום CODE613 ב12/11/2015 11:44 (+02:00)

softs

אני אחד שאוהב פתרונות מסבכים לבעיות פשוטות אבל נראה לי הלכת רחוק פה.
תוכל להשתמש בשירות טוקניזציה של חברות סליקה כמו ZCREDIT גם בלי לסלוק בפועל ממש,
בדרך כלל יש גם API לשחזר לך את מספר הכרטיס לפי הטוקן, נראה לי שאפשר לקנות גישה למסוף API בתשלום חד פעמי.
כמובן שתספר להם שאתה הולך לסלוק המון כסף . . .

פורסם במקור בפורום CODE613 ב12/11/2015 12:10 (+02:00)

avr416

@softs

אני אחד שאוהב פתרונות מסבכים לבעיות פשוטות אבל נראה לי הלכת רחוק פה.
תוכל להשתמש בשירות טוקניזציה של חברות סליקה כמו ZCREDIT גם בלי לסלוק בפועל ממש,
בדרך כלל יש גם API לשחזר לך את מספר הכרטיס לפי הטוקן, נראה לי שאפשר לקנות גישה למסוף API בתשלום חד פעמי.
כמובן שתספר להם שאתה הולך לסלוק המון כסף . . .

אני קיבלתי מפלאקרד גישה לAPI שלהם בחינם בתור מפתח.
הם נותנים לך גישה למסוף דמו לניסיונות שלך, ושם אתה יכול להמיר את מספר הכרטיס לטוקן, לשמור את הטוקן אצלך ואח"כ כמובן לשחזר אותו מהטוקן.
כך שאתה אפילו לא צריך לספר להם סיפורים, פשוט תגיד שאתה מתכנת.
בהצלחה!

פורסם במקור בפורום CODE613 ב12/11/2015 21:45 (+02:00)

zvinissim

@avr416

אני קיבלתי מפלאקרד גישה לAPI שלהם בחינם בתור מפתח.

את הפתרון הזה אני ידע טוב מאוד מלפני הרבה זמן.
אני ישבתי עם ClickOne בעת פיתוח מערכת אחרת לפני כ-5-6 שנים ללמוד את הנושא.(אפילו חשבנו לבנות את התקן PCI הזה בעצמנו אך עלויות הפתוח היו והינם גבוהות מאוד [כמדומי יותר מ 200K ש"ח])
ואפילו ישבנו במשרדים של פלאכארד לבחון את המצב (בזמנו היה ברחובות).

@avr416

הם נותנים לך גישה למסוף דמו לניסיונות שלך, ושם אתה יכול להמיר את מספר הכרטיס לטוקן, לשמור את הטוקן אצלך ואח"כ כמובן לשחזר אותו מהטוקן.
כך שאתה אפילו לא צריך לספר להם סיפורים, פשוט תגיד שאתה מתכנת.

אל תדאג לפלאכארד הם יודעים מה הם עושים...
פלאכארד מוכנים לתת לך API שלהם לצרכי פיתוח בכדי שתביא להם לקוחות שיסלקו דרכם, במצב כזה אתה "כלוא" איתם כמעט לנצח ולא יכול לתת ללקוחות שלך אפשרות תמרון של סליקה.
תחשוב מצב שמחר/מחרתיים/חודש ויותר לא יתאים ללקוח שלך לעבוד עם פלאכארד ואתה צריך לשנות לו את ממשק ה API מה תעשה אז??
במקרה כזה הלקוח שלך יצטרך להתקשר לכל הלקוחות שלו ולקבל שוב את מספר הכרטיס מחדש (נכון שאם אתה עובד כיום עם פלאכארד העבודה יותר קלה מפני שאתה יכול לשלוף את המספרים בפונקציה, אבל מה תעשה שיש מערכות כגון:
 
 

טרנזילה שאינן מאפשרות זאת?)

@softs

אני אחד שאוהב פתרונות מסבכים לבעיות פשוטות אבל נראה לי הלכת רחוק פה.

בשביל זה תמיד אני אומר שלמתכנת צריך להיות ראש "קרימינלי" ושיכול לחשוב למצבים של לא "מה אפשר לעשות" אלא ל"מה אי אפשר לעשות"

@avr416

בהצלחה!

תודה רבה

פורסם במקור בפורום CODE613 ב12/11/2015 22:41 (+02:00)