Насколько важен защищенный сертификат для внутренней обработки кредитных карт?

Question

Там, где я работаю, у нас есть система электронной коммерции в интрасети, настроенная для обработки кредитных карт клиентов. В настоящее время, когда мы списываем средства с кредитной карты клиента с помощью Authorize.net, мы не отправляем информацию о кредитной карте на Authorize.net через безопасное соединение. Вместо этого это идет по обычному http. Я хотел бы получить другие мнения о том, насколько это серьезно / небрежно. Спасибо.

РЕДАКТИРОВАТЬ : Похоже, я не прав. Я рылся в коде, и похоже, что он обрабатывает кредитную карту на https://secure.authorize.net. Однако веб-страница, на которой введена кредитная карта, не защищена. Это другая ситуация, чем я описал. Извини за это.

Answer 1

Это кажется очень небрежным. Было слишком много утечек информации о кредитной карте, чтобы позволить такое поведение.

Даже если обработка выполнялась внутри вашей интрасети и не отправлялась третьим лицам, я бы рекомендовал использовать защищенные соединения. Вы не хотите, чтобы это было доступно никому, даже внутренним, не уполномоченным сотрудникам.

Answer 2

Я в замешательстве. Как вы отправляете простые HTTP-запросы на Authorize.net? Их конечные точки транзакций не имеют версий HTTP - они будут преступно халатны, чтобы разрешить это.

---

Теперь, когда вы отредактировали, все стало немного понятнее. Да, по-прежнему представляет угрозу безопасности, если страница интрасети будет HTTP вместо HTTPS, но намного меньше, чем первоначально указывалось в вашем вопросе (незашифрованный транзит через общедоступный Интернет).

Поскольку он внутренний, вам не нужен платный SSL-сертификат (если причиной отказа от HTTPS является стоимость - я не могу думать о каких-либо других веских причинах) - вы должны иметь возможность использовать самозаверяющий сертификат.

Answer 3

Это очень важно, и то, что вы делаете, может вызвать серьезные проблемы.

Кроме того, это противоречит стандартам PCI, и каждая компания, которая обрабатывает информацию о кредитных картах, должна следовать стандартам PCI, поэтому у вас могут возникнуть юридические проблемы для этого.

Answer 4

Я бы рекомендовал прочитать руководство OWASP: http://www.owasp.org/index.php/Category:OWASP_Guide_Project (Бесплатная загрузка)

Стр. 53 и далее .. Получил отличную информацию.

Я бы сказал, что вы делаете ужасно небрежно и должны быть отсортированы как можно скорее ..

Answer 5

Это абсолютная катастрофа. Вы должны немедленно (и я имею в виду немедленно) использовать по крайней мере безопасность на транспортном уровне (SSL / TLS), и, если Authorize.net может настроить ее, безопасность на уровне сообщений также.