Hjælp til salg (Ikke internet)

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 09:58:41 GMT

Anders Lund:

hmm... Nu kommer jeg også helt i tvivl... :)

1) Så vidt jeg ved har du aldrig måtte håndtere kortdata på eget site medmindre du har været certificeret. Dvs. kommunikationen med den side der indeholder formularen hvor brugeren indtaster kortdata, har altid skulle foregå mellem en certificeret gateway og klienten. Samtidig er lagring af kortdata på ikke-certificeret miljø også strengt forbudt. Er det ikke korrekt?

jeg ved ikke om jeg tør svare :)

Tidligere har det været tilladt at lade kortdata passere egen server uden den _fulde_ PCI-certificering. Dvs. man kunne få lov ved at opfylde nogen relativt simple krav. En løsning som rigtigt mange kørende løsning anvender.

Det ny er at disse "simple" krav nu bliver skærpet således man skal igennem den fulde PCI-certificering. Og det vil meget få shops i Danmark have ressourcer til at efterleve. (min påstand).

Anders Lund:

2) Det som PBS med deres nye regler nu har indført er at du fremover ikke må remoteloade (eller køre via proxy eller hvad man ellers vil kalde det) den indtastningsformular hvor kortdata indtastes. Også selvom det foregår via certificeret gateway med SSL og hele pivetøjet. Er det korrekt?

Nej, ikke helt. Det ny tiltag tillader faktisk eksplicit fortsat proxy-løsninger. Det er blot under gatewayes ansvar. (Hele PCI går i bund og grund ud på ansvarsfraskrivelse ned igennem en fødekæde).

Og her kan man så fint argumentere for at proxyløsninger også burde "forbydes". Det virker i al fald lidt omsonst hvis man mener PCI alvorligt rent sikkerhedsmæssigt og ikke blot juridisk.

Jeg advokerer ikke for "ulovliggørelse" af proxyløsninger (det vil medføre en lang række praktiske uhensigtsmæssigheder), men det virker som en halv og ikke 100% gennemtænkt løsning.

thomas - quickpay.dk

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 09:45:38 GMT

MartinHjort:

Okay, jeg er forvirret:)

I bund og grund kan mit spg koges til dette: Kan det stadig, efter 30. september, lave en løsning, hvor alt betaling, dvs. indtastning af kort foregår på gatewayen? Dvs. kunderne bare vælger varer på min side, og når så klikker "Betal" kommer man til gatewayen?

Ja, det vil du fint kunne.

Og det betyder så at hvis du definerer webhotel som der hvor du har din hjemmeside behøver du ikke noget SSL-certifikat (for nu at svare på dit oprindelige spørgsmål igen). Alt omkring kryptering, SSL og andet moderne håndterer din betalingsgatewayleverandør så. Og dette uanset hvem du måtte vælge - på de punkt fungerer de alle ens.

ps. men vær varsom med mit svar: jeg er i branchen kendt for at lyve og ikke vide ret meget :)

thomas jensen - quickpay.dk

Sv.: Betalingsløsninger

Anders Lund — Tue, 02 Sep 2008 09:43:43 GMT

hmm... Nu kommer jeg også helt i tvivl... :)

1) Så vidt jeg ved har du aldrig måtte håndtere kortdata på eget site medmindre du har været certificeret. Dvs. kommunikationen med den side der indeholder formularen hvor brugeren indtaster kortdata, har altid skulle foregå mellem en certificeret gateway og klienten. Samtidig er lagring af kortdata på ikke-certificeret miljø også strengt forbudt. Er det ikke korrekt?

2) Det som PBS med deres nye regler nu har indført er at du fremover ikke må remoteloade (eller køre via proxy eller hvad man ellers vil kalde det) den indtastningsformular hvor kortdata indtastes. Også selvom det foregår via certificeret gateway med SSL og hele pivetøjet. Er det korrekt?

Mvh. Anders

Sv.: Betalingsløsninger

MartinHjort — Tue, 02 Sep 2008 09:40:31 GMT

Okay, jeg er forvirret:)

I bund og grund kan mit spg koges til dette: Kan det stadig, efter 30. september, lave en løsning, hvor alt betaling, dvs. indtastning af kort foregår på gatewayen? Dvs. kunderne bare vælger varer på min side, og når så klikker "Betal" kommer man til gatewayen?

Sv.: Betalingsløsninger

Anders Christensen — Tue, 02 Sep 2008 09:23:50 GMT

MartinHjort:

Så det kan faktisk ikke betale sig, at købe et webhotel med SSL?

Hvis du tænker webhotel som "der hvor selve din hjemmeside ligger", så er svaret nej, da du alligevel ikke får lov til at håndtere kortdata på dit eget site med de nye regler, så du kan lige så godt spare de penge.

Brugeren alligevel skal videre forbi din betalingsgateway (f.eks. quickpay.dk) for at taste deres kortdata ind, betalingsgatewayen er så sikret med SSL, hvorefter din kunde viderestilles tilbage til din egen hjemmeside, som ikke behøver at være sikret med SSL.

Og ja, det kan blive en værre forvirring.

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 09:18:56 GMT

MartinHjort:

Så det kan faktisk ikke betale sig, at købe et webhotel med SSL?

For ikke at blive misforstået af nogen som ved meget bedre bliver vi først nødt til at få defineret hvad du mener m. "webhotel".?

thomas

Sv.: Betalingsløsninger

MartinHjort — Tue, 02 Sep 2008 09:17:07 GMT

Så det kan faktisk ikke betale sig, at købe et webhotel med SSL?

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 09:15:53 GMT

Mikkel Mikjær Christensen:

tj:

Eh... du siger jeg lyver? Interessant vil jeg sige.

At det så er omsonst at proxyløsninger overhovedet forbliver tilladt når man ikke vil tillade API-løsninger er en helt anden diskussion.

Drop nu det flueknepperi, du kan tydeligvis ikke tolke indholdet af det brev, hvilket du nu har illustreret endnu engang. Derudover har jeg ikke beskyldt dig for at lyve, jeg har beskyldt dig for ikke at vide bedre.

godt så.. case closed.

m. forundret hilsen

thomas - quickpay.dk

Sv.: Betalingsløsninger

Anders Christensen — Tue, 02 Sep 2008 09:14:06 GMT

Jeg vil lige tillade mig at give mit besyv med.

Jeg har kun god erfaring med kommunikation med medarbejderne hos PIL - Herunder også Thomas Jensen, hvilket jeg ved at flere af mine kunder også har god erfaring med.

Så hvis Mikkel har problemer med at finde ud af hvad Thomas mener, så kunne man overveje at spørge igen, eller selv se om svaret er at til læse sig til svaret på deres hjemmeside, i stedet for at give sig til at råbe og skrige her på Amino om hvad han mener om en anden virksomheds kommunikationsevner.

Det er, efter min mening, et meget lavt niveau at debatere/tilsvine på!

Sv.: Betalingsløsninger

Mikkel Mikjær Christensen — Tue, 02 Sep 2008 09:08:01 GMT

tj:

Eh... du siger jeg lyver? Interessant vil jeg sige.

At det så er omsonst at proxyløsninger overhovedet forbliver tilladt når man ikke vil tillade API-løsninger er en helt anden diskussion.

Drop nu det flueknepperi, du kan tydeligvis ikke tolke indholdet af det brev, hvilket du nu har illustreret endnu engang. Derudover har jeg ikke beskyldt dig for at lyve, jeg har beskyldt dig for ikke at vide bedre. Der er væsentligt forskel, jeg syntes bare for din egen skyld du burde lade være med den slags og evt. hyre nogen med flair for kommunikation til at tage sig af det.

Til trådstarter: Det er ikke nok at få dig et SSL Certificat, Thomas her har måske nok en PCI certificering men han er knap så dygtig til at kommunikere. Hvorfor jeg vil anbefale dig at kontakte et andet selvskab der kan guide dig i den retning du ønsker.

Det som er hele sagens kerne er at dine kunders kort-data kun må opbevares hos en virksomhed der er PCI Certificeret, det bliver du ikke af et SSL certificat. Derfor skal selve bestillingsformularen nu også ligge hos gateway udbyderen, dvs. på dennes servere. Derfor har du absolut intet at bruge en SSL Løsning til.

Mht. at API løsninger bliver forbudt er det også kun delvist rigtigt, Thomas mener at en "API Løsning" er en fast-defineret enhed. Dette er ikke tilfældet, tværtimod. I ordet "API Løsning" ligger sådan set bare at du har nogle "håndtag" du kan tilgå direkte fra et fremmed (kundens) program. Hvad det "håndtag" efterfølgende gør og ikke gør afhænger af hvordan API Interfacet er defineret, og det kan sagtens lade sig gøre at definere et Interface der ikke opbevarer kortdata i kundens ende. Sådan er Thomas' interface bare ikke defineret, derfor siger han som han gør. Fordi i "hans verden" har han et produkt der hedder "API Løsning" og det opfører sig på en bestemt måde .... men det gør det ikke hos f.eks. Scannet, Dibs, Epay og en håndfuld andre jeg har haft med at gøre. De tillader alle API Adgang uden at man skal opbevare kortdata lokalt.

Hvis nogen skulle mene det jeg siger er forkert er de velkomne til det, de er også velkomne til at skrive det her, de skal bare ikke forvente at jeg giver mig til at tilbagevise noget som helst, det har jeg ikke tid til. Min mening her bygger på snart 7 års erfaring med det mareridt der i daglig tale kaldes PBS.

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 09:00:53 GMT

Hej igen

En ting slog mig dog lige... det kan være at forvirringen skyldes begrebet "webhotel" som PBS har formået at forplumre gevaldigt.

Et webhotel er i min verden et sted man har sin hjemmeside.

En betalingsgateway er derimod noget man kan knytte til sin hjemmeside/løsning for at håndtere betalinger. (ala dibs, fribetaling, os selv og mange andre)

thomas - quickpay

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 08:54:34 GMT

Mikkel Mikjær Christensen:

tj:

Nej, netop ikke. Fra skæringsdatoen får du ikke lov at lave vinduet hvor slutkunden skal angive kortdata på egen server/eget webhotel. Med mindre du lader dig PCI-certificere... og det har du ikke lyst til - tro mig.

Hej Thomas, det passer ikke. Jeg syntes du skulle holde op med at vildlede jeres potentielle kunder.Ifl. følgende tekst som jeg har snippet fra jeres egen side passer det du siger ikke:

"En hosted løsning er en løsning hvor alle kortdata er gemt, transmitteret og
processet i et PCI DSS certificeret miljø hos en Qualified Security Assessor (QSA)
certificeret IPSP'er. Alle andre løsninger er per definition ikke hosted og kræver
derfor kvartalsvise sikkerhedsskanninger og årlig udfyldelse af SAQ. Vi gør
opmærksom på, at den såkaldte proxi løsning hvor PSP'en henter forretningens
design over på PSP'ens betalingsside er defineret som hosted løsning, dvs. ansvaret
for sikkerheden ligger hos den enkelte IPSP'er."

Kilde: http://quickpay.dk/fileadmin/www.quickpay.dk/current/downloads/pbs-pci.pdf

Udover at det brev dokumenterer at hverken Susanne eller Vibeke har en meter styr på

it sikkerhed så er det nu engang dem der bestemmer :( ... men trods alt har de ikke

forbudt proxy løsninger endnu.

Fortsat god dag.

Eh... du siger jeg lyver? Interessant vil jeg sige.

Spørgeren tilkendegiver at han vil finde sig et webhotel m. SSL-certifikat. Man har netop ikke behov for et SSL-certifikat når man anvender proxy-løsninger. Rent faktisk er proxyløsninger typisk opfundet for at merchants "kunne slippe" for at installere eget SSL-certifikat. SSL-certifikat ønsker man typisk kun hvis man vil køre m. rene API-baserede løsninger, og de bliver netop "forbudt".

At det så er omsonst at proxyløsninger overhovedet forbliver tilladt når man ikke vil tillade API-løsninger er en helt anden diskussion.

Jeg tror iøvrigt ikke at kravene/tiltagende kommer fra hverken Susanne eller Vibeke.

thomas - quickpay.dk

Sv.: Betalingsløsninger

Mikkel Mikjær Christensen — Tue, 02 Sep 2008 08:36:50 GMT

tj:

Nej, netop ikke. Fra skæringsdatoen får du ikke lov at lave vinduet hvor slutkunden skal angive kortdata på egen server/eget webhotel. Med mindre du lader dig PCI-certificere... og det har du ikke lyst til - tro mig.

Hej Thomas, det passer ikke. Jeg syntes du skulle holde op med at vildlede jeres potentielle kunder.Ifl. følgende tekst som jeg har snippet fra jeres egen side passer det du siger ikke:

"En hosted løsning er en løsning hvor alle kortdata er gemt, transmitteret og
processet i et PCI DSS certificeret miljø hos en Qualified Security Assessor (QSA)
certificeret IPSP'er. Alle andre løsninger er per definition ikke hosted og kræver
derfor kvartalsvise sikkerhedsskanninger og årlig udfyldelse af SAQ. Vi gør
opmærksom på, at den såkaldte proxi løsning hvor PSP'en henter forretningens
design over på PSP'ens betalingsside er defineret som hosted løsning, dvs. ansvaret
for sikkerheden ligger hos den enkelte IPSP'er."

Kilde: http://quickpay.dk/fileadmin/www.quickpay.dk/current/downloads/pbs-pci.pdf

Udover at det brev dokumenterer at hverken Susanne eller Vibeke har en meter styr på

it sikkerhed så er det nu engang dem der bestemmer :( ... men trods alt har de ikke

forbudt proxy løsninger endnu.

Fortsat god dag.

Sv.: Betalingsløsninger

Thomas Jensen, QuickPay — Tue, 02 Sep 2008 07:39:00 GMT

MartinHjort:

Det var da sørgeligt med de nye regler faktisk. Så ved jeg jo hvad jeg skal gå efter mht. webhotel, for så er SSL jo stort set et 100% krav :)

Nej, netop ikke. Fra skæringsdatoen får du ikke lov at lave vinduet hvor slutkunden skal angive kortdata på egen server/eget webhotel. Med mindre du lader dig PCI-certificere... og det har du ikke lyst til - tro mig.

Thomas Jensen - Quickpay.dk

Sv.: Betalingsløsninger

Anders Lund — Tue, 02 Sep 2008 07:30:53 GMT

SSL har altid været et krav på sider hvor du skal indtaste kortdata (dvs. kortnummer, udløbstidspunkt og sikkerhedskode). Tidligere (eller rettere sagt indtil d. 30/9) var det dog tilladt at "remote-loade" dine indtastningsformularer under betalings-gateway'ens SSL certifikat.

Mvh. Anders