어떤 종류의 손상을 수 있는 하나 가진 게이트웨이 지불 API 로그인 트랜잭션 키?

Question

현재,저는 과정에서 고용하는 웹 개발자가 될 사이트에서 작업을 처리하는 신용 카드입니다.그는 동지 않을 것이 자격 있습으로 로그인 결제 게이트웨이의 UI 그는 것이스 API 로그인 트랜잭션의 핵심이기 때문에 포함된 응용 프로그램의 코드입니다.

나의해야 하는 모든 시나리오에 관한 형식의 손상이나 할 수 있는 내용은 다음과 같습니다.분명히 그는 신용 카드를 처리할 수 있지만 돈으로 사이트의 소유자의 은행 계좌에게 얼마나 많은 피해가 일으키는 원인이 될 수 있었습니다.할 수 있는 사람이 생각의 모든 다른 가능한 시나리오?

업데이트:결제 게이트웨이 사용되는 Authorize.net.

Answer 1

그들은 정말로세스의 생산 사이트입니까?

하지 않는 저장하는 키 코드에서 그것을 저장하에서의 생산 데이터베이스,또는 파일에서 생산 서버입니다.

Answer 2

몇 가지 좋은 대답을 여기에,나는 그냥을 추가하는 것이 아마 당신은 몇 가지 문제 PCI.
PCI-DSS 특히 지시한 분리,의무의 격리의 생산 환경에서 개발/테스트,보호의 암호화 키에서 누군가가 필요하지 않습니다.로@마태복음 왓슨 말해,다시 생각이며,권한을 부여 생산한 액세스 개발자입니다.

옆으로는 경우,그에 액세스할 수 있는 API 를 직접을 어떻게 보장하는"돈으로 사이트의 소유자의 은행 계좌"?을 언급하지 않을 모두 신용 카드 데이터...

Answer 3

는 경우에 개발자에 대한 액세스를 얻을 원료 신용 카드 번호이 될 수 있는 더 큰 문제는 당신의 사이트로 연결 될 수 있습와 부정 행위,가정 개발자는 나쁜 애플입니다.(그들은 리디렉션할 수 있습 계좌번호,CCV,만료 날짜를 다른 사이트로만 이해야 spottable 네트워크를 통해서 도구 및 포괄적인 코드를 검토합니다.)

는 API 를 수행합니"$1.00"수료(또는"$X XX")는지 확인하려면 신용 카드를 충전할 수 있는 특정 금액(고,따라서 그 결과를 반환자 등"yes"or"no")?그렇다면,그것은 될 수 있는 자동화하는 데 사용되는 유효성 검사의 신용 카드 계좌 번호 거래는 인터넷에서 남의 이러한 시스템을 이어질 수 있습니다.

Answer 4

모든 게이트웨이 나가는 지불 프로세서에 관계 API 키 특정 IP 또는 IP 범위의 가맹점의 사이트.는 말하지 않는 한,악의적인(?) 코드에서 질문을 실행은 같은 서버에서는 가맹점-이 없을 것 보안 문제입니다.

이 경우 아에 대한 귀하의 상인 사이트의 접촉을 요청하는 경우 이것이 가능합니다.

Answer 5

결제 게이트웨이 허용한 반전의 요금이?그렇다면의 가능성이 있는 다수의 사기되고 실행됩니다.

Answer 6

는 사이트로 환불이 불가?그것은 이제까지나요?

면 우리가 얘기하는 사악한 사용에,다음 사이트에 소유자가 될 수 있습을 조사하는 경우 많은 무단 구매를 만들어집니다.어떻게 영향을 미치는 당신 는 경우에는 소유자가 조사?

Answer 7

에서 설명을 하는 것 같이 개발자가 액세스를 고객에게 카드 세부 사항에있는 경우에는 고객의 개인정보가 훼손될 수 있습니다.고려할 수 있습니다 문구가 계약에 적절하게 확인하는 각도로 덮여 있습니다.

그러나 중요한 점은 작업하는 경우에 민감한 프로젝트/정보 그것은 당신을 위해 더 나은 사람들을 찾을 수 있을 신뢰합니다.채용 소프트웨어 하우스 일을 하기를 저장할 수 있습니다 몇몇은 잠니다.

Answer 8

첫째로,그것은 최고 당신은 결코점 이 유형의 정보를 일반 텍스트입니다.일반적으로 사람들이 이것으로 지식에 대한 신용 카드 번호(슬프게도,단지 때문에 법적인 이유로)지만,어떤 종류의 개인 데이터는 원하지 않는 다른 사람들과 함께 데이터베이스/소스 코드세보는 암호화되어야 합니다.저장해야 합 계정 정보를 어딘가에서는 암호화된 형식으로 제공해야 합 테스트 계정 사용하는 개발자에 자신의 개발 워크스테이션.이 방법만을 가진 사람들의 서버 액세스를 볼 수 있도 암호화된 정보입니다.

이 방법은,당신이 할 수 있는 데이터베이스에 개발자의 워크스테이션 테스트 계정 API 저장된 정보를(아마 암호화)에서 그것은 로컬 데이터베이스하지만,때 코드 미러에 생산 서버는 여전히 사용하고,실제 게이트웨이에 저장된 정보는 생산을 서버의 없이 데이터베이스 코드를 추가합니다.

이는 말했다,나는 생각하지 않는 프로그래머의 API 인증 정보할 수 있는 것은 너무 많은 작업을 수행합니다.방법 중 하나,그것의 가치가 위험에 내 의견입니다.

희망이 도움이됩니다.

PS:면 뭔가 나쁜 일은 끝까지 발생할 수 있습니다 항상 새로 생성하는 키에는 웹 인터페이스 authorize.net 후 촬영한 주의 사항을 확인 그것은 다시 일어나지 않을 것이다.

Answer 9

에서 특정 사례의 Authorize.Net 그들은 할 수 없으로 크레딧 자신의 신용 카드를 이 Authorize.Net 만 수행 할 수 있습니에 트랜잭션 수행을 통해 이내에 그들의 마지막 여섯 개월입니다.유일한 예외가 허용되는 경우는 예외를 부여에 대한 연결을 해제해주시기 바랍니다.서명 하는 경우 적절한 서류에 대한 이 사람은 API 로그인 트랜잭션 키 그를 처리할 수 있습 크레딧을 향한 자신의 신용 카드입니다.을 위한 유일한 방법은 당신이 잡을 것 모니터링하는 문중.

이러한 데이터 손실을 완화하기 위해 변경해야 합 트랜잭션 즉시 키 작업이 완료되면 그들을 수행한다.렌더링하는 것은 열쇠 그들이 쓸모없는 후에는 24 시간입니다.