authentication ב - express

clickone

@יוסף-בן-שמעון אני לא חושב שזה לא חוקי לשמור סיסמאות בDB.
(אא"כ יש לך נתונים כספיים באתר וגם אז לא בטוח)
אפילו נתוני אשראי לזכרוני אין איסור לשמור - כל עוד לא פרצו לך.
ברגע שפרצו לך אז זה הופך לפלילי. (בנתוני אשראי)

מה שכן, כתבת בצדק מאד, שזה לא חכם וגם לא אתי כלפי לקוח הקצה שמפיק בידיים שלך סיסמא (בהרבה פעמים היא הסיסמא הקבועה שלו )

WWW

@clickone אמר בauthentication ב - express:

אפילו נתוני אשראי לזכרוני אין איסור לשמור - כל עוד לא פרצו לך.

בטוח?
יש איזה תקן אבטחת מידע שצריך לעמוד בו, לא?

מנצפך

@clickone
@WWW

אסור לשמור.
מה השאלה.
צריך אישורים ותקנים וזה עולה לא זול בכלל...

מותר נראה לי רק טוקן ותאריך.

clickone

@מנצפך
@WWW
עקרונית אין איסור לשמור, יש איסור שתהיה דליפה.
ז"א, לא יחול קנס במידה ושמרת, כל עוד לא התבצעה דליפת נתונים

מועצת PCI מעודדת עסקים המאחסנים נתוני אשראי לעמוד בתקן כדי להפחית סיכונים העלולים לגרום לפגיעה כספית כתוצאה מדליפת נתונים, אך היא אינה בעלת סמכות אכיפה של התקן. חברות האשראי הן המחזיקות בכוח לקבוע נהלים, לוחות זמנים ודרישות לעמידה בתקן. חברות האשראי כי החל מתחילת 2013 כל חברה המבצעת חיובים בכרטיסי אשראי תידרש לעמוד בתקן. חברה שתתקיים אצלה דליפה של נתוני אשראי ואשר לא עמדה בתקן תעמוד בפני מגבלות וקנסות מצד חברות האשראי.

https://www.hamichlol.org.il/תקן_PCI_DSS
ככה הסביר לי גם בעבר יועץ שייעץ לוועדה של זה בכנסת (כיום הא סמנכ"ל באחת מחברות הסליקה)

במידה והייתה דליפה למרות התקן, אז לא יהיה קנס....

WWW

@clickone אמר בauthentication ב - express:

במידה והייתה דליפה למרות התקן, אז לא יהיה קנס....

גם אם ההוא שולח למייל של מישהו אוטומטית את פרטי האשראי שההוא יבצע סליקה?

clickone

@WWW
זה חורג מהתקן.
ולכן יהיה קנס.

WWW

@clickone אמר בauthentication ב - express:

זה חורג מהתקן.
ולכן יהיה קנס.

ללא שייפרץ?

clickone

@WWW
להבנתי רק אם תהיה פריצה.
אחרת אין להם דרך להוכיח שחרגת. (לכאורה גם אם יש דרך לא יהיה קנס כל עוד שלא הייתה פריצה בפועל)

upsilon01

@WWW
שליחה במייל מן הסתם לא עומדת בתקן האבטחה
בפרט עם שלחת את 3 הספרות בגב הכרטיס(שחל איסור מוחלט לשמור אותם)

upsilon01

https://he.wikipedia.org/wiki/תקן_PCI_DSS#משמעות_PCI_עבור_עסקים