De fleste betalingsgateways har vel muligheden for at du enten kan bruge deres standard popup betalingsvindue, eller bruge deres API og lave dine egne betalingsforms etc. Jeg har valgt det sidste, da jeg godt kan lide at have betalingsdelen i mit eget design, og selv kunne definere alt omkring betalingsdelen. Hvis du bruger et API og selv laver betalingsformularen etc. skal/bør du benytte SSL. Jeg mener at nogle gateways har krav til det, men det står i deres vilkår.
Hvis du vil tilføje SSL er det nu ret nemt. Hvis du bruger et webhotel har de fleste hosting firmaer mulighed for at tilføje det for et meget lille beløb. Har du din egen server (eks. virtuel eller cloud), er det ikke meget besværligt. Jeg har aldrig installeret et SSL certifikat på en server før, og det tog mig under en time.
Men hvis ikke dine brugere gemmer data på din side, er det nok ikke nødvendigt med SSL.
Mvh Carsten
Lad mig lige quote fra quickpay dokumentationen: (doc.quickpay.com)
"As a merchant you are only affected by PCI DSS if payment card data passes through you physical server. This is the case if you are using the QuickPay API to handle payment card data, and you therefore have to implement security measures as outlined in the PCI DSS Standard Self-Assessment Questionnaire (SAQ)."
Hvis du bruger deres api kal til at lave "authorize" eller "subscribe" saa skal du absolut vaere pci godkendt. Ellers kommer din kort indloeserer efter dig, og lukker lige saa snart de opdager det.
Men bortset fra det kan quickpay godt anbefales, og de har en ekstra service(koster en smule ekstra) hvor man kan laegge sit eget betalingsvindue paa deres server, og hvor man saa bruger deres pci godkendelse.
-------- TILFOEJET ---
Sorry, nu saa jeg saa at du ikke brugte quickpay. Jeg ved ikke hvorfor jeg gik ud fra det. Men det gaelder stadig at hvis kort data paa noget tidspunk kommer til din server(Foreksempel fordi du skal sende dem videre til stripe) saa skal du vaere pci godkendt. Det er ligemeget om du faktisk gemmer kort data. Det er et spoergsmaal om hvorvidt din server paa noget tidspunkt faar dem.
Jeg skrev et kort indlæg (nu slettet), hvor jeg advarede imod iFrame og Javascript baserede betalingsvinduer som bl.a. Stripe, Paymill og ePay - da "Javascript betalingsvinduer er en gråzone i PCI DSS og yderst problematiske for kortholdere / forbrugere - i mine øjne en katastrofe".
Jeg er efterfølgende blevet kontaktet af ePay som truer mig med advokater og injuriesag. Derfor vil jeg gerne trække min kommentar tilbage. Jeg er dog dybt skuffet over at Amino valgte at slette mine 2 indlæg...
Jeg er ganske tryg ved den måde deres tokens virker på.
Mvh Carsten
Carsten. Problemet er at du har mulighed for at gemme kortdata. For det første er det ikke alle virksomheder der har rent mel i posen. For det andet kan tyve misbruge din mulighed for at gemme kortdata. En hacker, din it-administrator, din hostingprovider, din webdesigner eller et af dine shop-moduler... alle kan de indsætte få linjer kode der sender dine kunders kortdata til en server i Bangladesh. Hvor mange penge bruger du på pentesting og it-sikkerhed? Ville du, hånden på hjertet, opdage ondsindet kode?
Jeg er efterfølgende blevet kontaktet af ePay som truer mig med advokater og injuriesag. Derfor vil jeg gerne trække min kommentar tilbage. Jeg er dog dybt skuffet over at Amino valgte at slette mine 2 indlæg...
Jeg må bekende mig noget nysgerrig efter, hvad du mon har skrevet, der tilsyneladende kan afføde noget der ligner trusler og censur. Jeg synes i al fald, at emnet overordnet er både interessant og relevant.
En hacker, din it-administrator, din hostingprovider, din webdesigner eller et af dine shop-moduler... alle kan de indsætte få linjer kode der sender dine kunders kortdata til en server i Bangladesh. Hvor mange penge bruger du på pentesting og it-sikkerhed? Ville du, hånden på hjertet, opdage ondsindet kode?
Jeg gider ikke beskrive i detaljer hvad jeg har gjort for at sikre mig, men det kører i et PCI DSS compliant setup, og jeg har gjort meget, og investeret mange penge i virksomheden.
det er en interessant diskusison... og som sådan ikke nogen kritik af dig eller din løsning[1]. I min optik er det mere en kritik af PCI. PCI har alle dage været til fortolkning. Problemet når sikkerhed kan gradbøjes er at når det bliver til et konkurrenceparameter, hvor overliggeren typisk bliver sat lavere og lavere fordi de fleste opfatter sikkerhed som noget unødigt bøvl.
Ved du hvilken indløser som ligger bag din aftale ?
[1] vi som PSP kan sågår godt selv finde på at lancere noget lign. hvis vi kan finde en indløser som er indforstået m. risikoen og vil acceptere gradbøjning af PCI.
vh
thomas jensen
ps. jeg undlader helt at kommentere på at fordi noget er hostet er i pci dss compliant miljø og der er brugt mange penge på det :)
Jeg må bekende mig noget nysgerrig efter, hvad du mon har skrevet, der tilsyneladende kan afføde noget der ligner trusler og censur. Jeg synes i al fald, at emnet overordnet er både interessant og relevant.
Jeg kan desværre ikke huske den ordrette formulering. Ifølge ePay er det ikke første gang jeg har fremsat injurier imod dem og det tager jeg selvfølgelig til efterretning, men jeg er mildest talt uforstående. Min advarsel mod Javascript og iFrame baserede betalingsvinduer var generel, kortfattet, subjektiv og IKKE udelukkende møntet på "Stripe, Paymill og ePay". Jeg kunne have nævnt andre løsninger, men valgte at holde mig til de i tråden omtalte løsninger. Jeg mener bestemt at der er mange positive ting at sige om både Stripe, Paymill og ePay, men jeg mener også at der er en sikkerhedsproblematik som spørgeren bør kende til inden han vælger en løsning. Jeg skrev indlægget kl. 15 og først klokken 17 blev det fjernet.
Jeg vil ikke lægge skjul på at jeg blev forundret og ikke mindst indigneret over epays trusler. Derfor sluttede jeg mit andet indlæg (17:20) med at påpege at ePay sender passwords i klartekst, hvorved jeg måske kom til at insinuere at de ikke tager it-sikkerhed seriøst (nok). Det burde jeg selvfølgelig ikke have gjort, men det indlæg blev så også fjernet indenfor et minuts penge - hvilket jeg bestemt ikke forstår.
Bliv gratis medlem
Opret bruger