האם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API

dovid

לא אמרתי שיש... רק אמרתי שהתקן בא רק לתת הגנה למקרים של בעיות.
אבל כן יש פה סיכונים, בצד השרת. תחשוב למשל שיש וירוס או תוקף עם שליטה בשרת. והא יכול להשיג את הנתונים בעת השליחה לAPI או אפילו בעת הקבלה שלהם מהטופס.

clickone

@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?
אתה יכול גם להשתמש עם טוקן, ואז אתה חופשי אח"כ להשתמש עם הכרטיס

יוס

@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:

אייפריים

@clickone סליחה על השאלה אבל מה זה "אייפריים"
עיקר השאלה שלי היתה לפני שלב הטוקן,
הרי גם לקבל את הטוקן אני צריך לשלוח קודם את מספר הכרטיס ?

clickone

@יוס דרך איזה חברת סליקה אתה עובד?
הרעיון הוא שאתה שולח מהשרת שלך בקשת API ומקבל לינק ייחודי, שאותו אתה יכול לפתוח כאייפריים בתוך האתר שלך,
בעצם ככה אתה פותח דף בתוך הדף שלך, בתוך הדף הזה, של הסולק, משתמש הקצה מקליד את המספר אשראי שלו, וזה באחריות הסולק ולא באחריותך
אח"כ אתה מקבל מאחורי הקלעים את הטוקן.
כמובן שאתה יכול גם לבצע עסקת חיוב וכו בתוך האייפריים

clickone

@יוס לקריאה נוספת על התהליך
http://kb.cardcom.co.il/article/AA-00238/0/הסבר-כללי-על-עבודה-ב-IFRAME-REDIRECT-דף-פרופיל-נמוך.html

יוס

תודה על ההסבר המפורט,
אכן זה נכון לגבי חברות סליקה רגילות
אך במקרה הספציפי הזה מדובר בנדרים פלוס,
האם ידוע לך האם יש שם כזו אפשרות ?

clickone

@יוס נדרים עובד מול פלאכארד
אתה יכול לבדוק מולו

אולי יש לו גם אייפריים (אני לא יודע)

מנצפך

לא חושב שיש לנדרים IFrame מותאם,
בכל אופן כמובן שאתה צריך לעמוד בתקן PCI, אך כמו ש@dovid אמר זה לא חובה. אבל חברת האשראי עלולה לעשות לך בעיות ולסגור לך את המסוף.

אני אישית גם משתמש לצרכים מסויימים ב API מול נדרים. אך ייתכן שכדאי לך לבדוק אפשרויות של חברות שמכוונות לקהל המפתחים, שנותנים סליקה ב IFRAME ובRedirect

חוקר

@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:

אולי יש לו גם אייפריים (אני לא יודע)

@מנצפך
יש לו משהו חדש ומאוד משוכלל.
רק אציין שאולי @יוס צריך את זה לסליקה דרך הטלפון, וא"כ כל הנ"ל לא רלוונטי והשאלה הראשונה בעינה עומדת

יוס

@חוקר אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:

משהו

אני יסביר בקצרה מה אני צריך
אמנם אני בונה לזה גם מערכת טלפונית
אך מה שאני שואל זה לגבי אתר ניהול למנהלים ששם הם רוצים אפשרות להכניס תרומות באופן ידני
ועל זה נסובה שאלתי,
והלקוח רוצה לעבוד דוקא איתם (בגלל אפשרות ההתרמה בעמדות הזמינות לכולם)
(אכן הרבה יותר יעיל לעבוד עם חברות רגילות שמספקות הכל ב API)

nigun

@clickone אמר בהאם צריך תקן PCI לסליקת אשראי כשהנתונים נשלחים ב API:

@יוס מה אכפת לך שהחלק הספציפי הזה יהיה עם אייפריים?

אם משתמשים באייפריים ומישהו פורץ לאתר המפנה, ומזריק JS לדף , הוא לא יכול לשלוף נתונים שמועברים לאייפריים?
(רק שואל, אין לי מושג, אני לא מבין כ"כ באבטחת מידע)

יוס

רוצה לבדוק ?
תכתוב JS כזה ונבדוק האם זה יצליח לצוטט

nigun

@יוס
אין לי מושג איך כותבים JS בכלל ופרצות אבטחה בפרט
פשוט עכשיו שמעתי פודקסט על אבטחה ועל פרצות XSS
והבנתי שיש פרצה כזאת, אבל לא הבנתי בדיוק איך זה עובד.

עריכה: הבנתי את זה מהפודקאסט הזה
יתכן מאוד שלא הבנתי את הקטע.

clickone

@nigun
אין לו מה לשלוף / לשנות כ"כ
כי את המספר אשראי הוא יכול לדגום את ההקשות על המקלדת
ושוב, הרעיון של האייפריים שאת האחריות לדברים האלה הסולק לוקח ולא אתה

מן הסתם כמו תמיד הם מגינים על עצמם גם בזה באיזה סעיף שכוח בחוזה......

מנצפך

לגבי iframe, לא ניתן לקחת נתונים מתוך iframe שמפנה ל HTTPS

avr416

@nigun לדפדפן יש מדיניות אבטחה קשוחה לגבי iframe.
הדף המארח לא יכול לשנות שום דבר באייפרם, לא להזריק סקריפטים או css וכדו'.
הדפדפן טוען רק את הקבצים שהאייפרם מפנה אליהם, ורק להם יש יכולת לשנות אותו, כך שאכן האחריות עוברת אל החברה הסולקת, כמו ש@clickone כתב, כיון שהיא היחידה שיכולה להחליט מה הדף יטען.

אם תנסה לגשת לאייפרם מתוך הדף המארח ולשנות לו אפי' עיצוב של css תראה שאתה לא מצליח..