Комментарии 15
Offtopic для "хранения данных" и "инфраструктуры", поправьте список хабов.
Да, сертификация PCI DSS — титанический труд, как не помнить такое :)
Вот тут в конце упомянули про библиотеку под Android. Как-то то ли на Тостере, то ли у знакомого всплывал вопрос на тему её использования. Ничего толкового нагуглить не удалось. В лучшем случае были отсылки на экзотические способы установки node.js на рутованые девайсы. Так как же на самом деле обстоят дела?
Вот тут в конце упомянули про библиотеку под Android. Как-то то ли на Тостере, то ли у знакомого всплывал вопрос на тему её использования. Ничего толкового нагуглить не удалось. В лучшем случае были отсылки на экзотические способы установки node.js на рутованые девайсы. Так как же на самом деле обстоят дела?
>>или PIN-код (последний обычно поступает из POS-терминалов супермаркетов)
Эмм, а пин-код точно уходит дальше терминала?
Эмм, а пин-код точно уходит дальше терминала?
онлайн-пин уходит конечно же
Не порите чушь, пин-код никогда не покидает пределы пинпада терминала (если пинпад идет к терминалу внешним устройством) или пин-пада в банкомате. Наружу уходит свёртка пин-кода и она даже шифруется приватным ключом, по ней нельзя восстановить сам пинкод.
Да есть конечно варианты настроек терминалов где все гуляет чуть ли не а открытом виде или используется DES вместо 3DES, но это все от людской глупости и лени сотрудников банков и т.п.
Да есть конечно варианты настроек терминалов где все гуляет чуть ли не а открытом виде или используется DES вместо 3DES, но это все от людской глупости и лени сотрудников банков и т.п.
Как известно, согласно PCI-DSS, платёжная система не должна хранить у себя так называемые Критичные аутентификационные данные (КАД), к которым относят, к примеру, CVV или PIN-код (последний обычно поступает из POS-терминалов супермаркетов).Интересно как работают рекурентные платежи, если CVV не должен храниться?
Либо через механизм токенизации, либо через встроенную фичу платежки (емнип, в PayPal/Payflow такое было).
Обычно шлюзы их не требуют для повторных платежей, но тут конечно, всё индивидуально.
Ну если со стороны API — то как-то вот так developer.authorize.net/api/reference/features/customer_profiles.html
читаю ваш блог и в процессе появилось несколько вопросов: что собственно представляет процесс токенизации, если платежная система (учитывая PCI DSS) имеет право хранить только номер карты в зашифрованном виде, то как происходит сборка данных о карте при связке с банком-эквайром?
О самой сертификации ни слова :)
Труд не титанический, проходим в шестой раз.
Из пунктов приёма карт — 90+ гипермаркетов и 100+ супермаркетов двух торговых сетей, сайт, скоро будет мобильное приложение.
Расскажите лучше большой обзорной статьёй об инновационных методах платежа, которые используете.
Стандарты хорошо применимы и БЕЗ платежей, в обычной сети, т.к. вводят нормальные точки контроля
Ну и да, www.pcidss.ru (Обратите внимание, не httpS) — все актуальные документы.
Труд не титанический, проходим в шестой раз.
Из пунктов приёма карт — 90+ гипермаркетов и 100+ супермаркетов двух торговых сетей, сайт, скоро будет мобильное приложение.
Расскажите лучше большой обзорной статьёй об инновационных методах платежа, которые используете.
Стандарты хорошо применимы и БЕЗ платежей, в обычной сети, т.к. вводят нормальные точки контроля
Ну и да, www.pcidss.ru (Обратите внимание, не httpS) — все актуальные документы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что такое PCI DSS и как происходит проверка на соответствие стандарту?