web-dev-qa-db-ja.com

Eコマースサイトの保護

私はカスタムeコマースサイトを構築しています。ユーザーは、支払いゲートウェイのサイトに誘導されるのではなく、サイトでクレジットカードの詳細を入力します。

クレジットカードの取引を保護するために必要な重要な手順について、私は混乱しています。

ペイメントゲートウェイは明らかにSSL証明書を販売しようとしていますが、私の理解では、SSL証明書の主な目的は認証を提供することであり、クレジットカードの詳細を暗号化することではありません。 /顧客のクレジットカードの詳細(およびXMLを介して支払いゲートウェイに渡されるその他の情報)を安全にするには、どのような手順を実行する必要がありますか?

ありがとう

9
jeremy85

@Jeremy、最初に行う必要があるのは PCI-DSS を読むことです。
それはあなたにとって非常に良い初心者チェックリストを提供するはずです。また、クレジットカードを受け入れる場合は、PCIに準拠する必要があります、この問題については実際には選択の余地がありません。

実際、クレジットカードを受け入れない[〜#〜]しない[〜#〜]、そして他のサービスにそれをしてもらうほうがよいでしょう-Paypal、支払いゲートウェイ、なんでも。 PCIを確認した後、おそらく私に同意するでしょう...

ここにいくつかのハイライトがあります、完全からの遠い:

  • 暗号化認証(サーバーの)
  • すべてのユーザーを認証します(パスワードポリシーなどの多くの回避策)
  • アプリケーション、サーバー、およびデータベースへのアクセスを制御する
  • クレジットカードの詳細は保存せず、暗号化されたPANのみを保存してください
  • トラックデータ、CVVなどを保存しないでくださいAT ALL
  • 簡単に壊れないようにサイトを保護します
  • 監視、ポリシーなど、その他多数...
10
AviD

すでに与えられた回答に追加するために、クレジットカードの詳細を処理する場合は、 OWASPトップ10 を確認し、次のことを確認する価値があります。そこでのすべてのリスクを再考慮します(これは、PCIコンプライアンスにも役立つ可能性があることを示しています)。

その側面に関するより詳細な情報については、 OWASP開発ガイドも参照してください。

FWIW @AviDに同意します。クレジットカード情報の処理を回避できれば、コンプライアンスとセキュリティの観点から、生活がはるかに簡単になります。

6
Rory McCune

あなたがeコマースサイトを構築しているなら、あなたはあなたが処理しなければならないどんな責任を理解するべきです。この時点で、セキュリティ監査と侵入テストを実行することをお勧めします(どちらも等しくありません)。もちろん、セキュリティプロバイダーのソリューションとヒントだけに頼るべきではありません。私が推奨しているのは事後チェックです。

@AviDは、ユーザーデータの堅牢な整合性とセキュリティソリューションの鍵となるPCI-DSSについて言及しました。ただし、多くの開発者はすべての標準要件を満たすことができません。そのため、開始方法、実行方法、または単に安全を感じたい場合は、セキュリティチェックを実施する会社に連絡することをお勧めします。

更新:明確にするために-私が推奨しているのは、アプリケーションの構築後に実行する必要がある手順です。think幅広い対象者向けに実行を開始する準備ができています。後で、準備がまったくできておらず、いくつかの修正手順が必要であることが明らかになる可能性があります。

1
anonymous