Melon77 0 Zgłoś post Napisano Listopad 4, 2011 Witam, Chciałbym się dowiedzieć, jakie warunki musi spełniać serwer oraz administrator, aby można legalnie przechowywać numery kart kredytowych. Czytałem o wysokich wymaganiach, jakie istnieją na zachodzie, natomiast nie byłem w stanie znaleźć żadnych konkretnych informacji odnośnie polskiego prawa. W skrócie chodzi mi o taki scenariusz, zakładając że ja jestem wykonawcą serwisu: - klienci podają nr karty kredytowej w serwisie (oczywiście SSL) razem z datą ważności i kodem CVC - nikt z naszego serwisu nie będzie obciążał tych kart, jedynie ich numery będziemy udostępniać firmom (np. hotelom), które będą używać kart jako zabezpieczenia rezerwacji i potem ew. pobrać płatność, więc generalnie pomysł jest taki, żeby dane karty były przechowywane w naszej bazie przez kilka dni, po to, aby upoważniona firma miała do nich dostęp za pomocą loginu i hasła (przez SSL) Czyli generalnie chodzi o system przekazania numeru karty podmiotowi trzeciemu, który w tradycyjny sposób zbiera je np. za pomocą faksu lub telefonu. Ponieważ numery te byłyby przechowywane w naszej bazie, to domyślam się, że muszą być spełnione pewne wymogi dotyczące serwera i sposobu administrowania. Interesują mnie takie rzeczy: - jakie są wymagania, które musi spełniać podmiot przechowujący numery kart kredytowych wg polskiego prawa lub/i gdzie można uzyskać takie informacje, do kogo się zgłosić? - czy można takie dane przechowywać na hostingu współdzielonym, czy trzeba pomyśleć nad serwerem dedykowanym lub własnym? - ile mniej więcej coś takiego może kosztować? Pozwolenia, zabezpieczenia techniczne, itp. - czy są może jakieś zewnętrzne serwisy, z których usług mogę skorzystać, żeby uniknąć przechowywania numerów kart u siebie? Np. coś w rodzaju platnosci.pl, z tym że tu sytuacja jest inna, bo ja nie chcę pobierać płatności, chcę jedynie przechowywać chwilowo numery kart do wglądu dla innych firm. Mam nadzięję, że ktoś będzie w stanie naprowadzić mnie bliżej na temat Udostępnij ten post Link to postu Udostępnij na innych stronach
elcct 159 Zgłoś post Napisano Listopad 4, 2011 W UK reguluje to mniej więcej to: http://www.ico.gov.uk/for_organisations/data_protection.aspx w Polsce powinno być podobnie Po prostu dane musisz przechowywać tak, by ryzyko dostania się ich w niepowołane ręce było minimalne - i pewnie jakby ktoś się do danych kart dostał, za wszelkie straty banki ściągną z ciebie. Ogólnie dane powinny być przechowywane tyle ile trzeba do wykonania transakcji - chyba, że użytkownik chciał inaczej. Nie traktuj tego poważnie, po prostu kiedyś się tym interesowałem - być może coś się zmieniło. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Listopad 4, 2011 (edytowany) Poprzez podanie numeru karty, daty waznosci i kodu CVV2 autoryzujesz transakcje, ktora aktualnie wykonujesz. Jakiekolwiek późniejsze poslugiawnie sie tymi danymi, wykraczającymi poza zakres autoryzacji (stała opłata, direct debit na karte, oplata odnawiana w zakresie autoryzacji), jest nieautoryzowanym uzyciem karty kredytowej, co skutkuje podwazeniem wykonanej transakcji jak i wszelkich operacji dokonanych w sposob nieautoryzowany. Poslugiwanie sie przez ciebie, twoja firme etc przekazanymi danymi autoryzacyjnymi karty poza transakcją autoryzowana jest przestepstwem podlegajacym dość surowej karze. Jesli masz watpliwosci co do zasadnosci mojch słów, skontaktuj sie z centrum autoryzacji VISA lub MC, gdzie otrzymasz identyczne informacje. Możesz również zerknąć na strony w/w operatorów kart kredytowych. Edytowano Listopad 4, 2011 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
elcct 159 Zgłoś post Napisano Listopad 4, 2011 Na zdrowy rozsądek mi się wydaje, że powinieneś zapomnieć o jakimkolwiek udostępnianiu tych danych innym firmom. To raczej powinno wyglądać tak, że jeśli ty chcesz zachowywać numery kart - to również ty powinieneś je obciążać i innym firmom udostępniać już tylko pieniążki, a po obciążeniu karty dane karty kasować. Udostępnij ten post Link to postu Udostępnij na innych stronach
Melon77 0 Zgłoś post Napisano Listopad 4, 2011 Dzięki za odpowiedzi. Właśnie cała idea polega na tym, że nie my mamy autoryzować karty ani ich obciążać - naszym zadaniem ma być tylko zebranie wszelkich informacji od klienta - łącznie z numerem karty - i przekazanie ich firmie, która z nami współpracuje. Wiadomo, że powstaje wtedy problem, kto jest odpowiedzialny za ewentualne nadużycia w razie problemów - czy my, którzy przechowujemy i przekazujemy numery kart, czy firma docelowa, która dostaje te numery i pobiera opłaty. Tego typu systemy może nie są popularne ale już istnieją - chociażby http://www.booking.com/ - tam rezerwując hotel podajesz swoje dane karty kredytowej, jednak nie ma żadnej autoryzacji online (choć piszą że czasem mogą pre-autoryzować), możesz nawet podać fikcyjne numery i system je zaakceptuje. Te numery są potem przekazywane konkretnemu hotelowi, który obciąża kartę. W jaki sposób następuje to przekazanie, tego nie wiem, ale raczej na pewno musi to być drogą szyfrowaną. W ochronie prywatności mają zapis "Dane Państwa karty kredytowej są przez nas przechowywane nie dłużej niż 10 dni od dokonania rezerwacji. Po tym czasie dane Państwa karty kredytowej zostaną usunięte z naszego systemu." Chodzi mi właśnie o tego typu system przechowywania kart na swoim serwerze - jakie są prawne wymagania wobec takiej witryny? Jeśli trzeba przejść jakiś audyt, zdobyć certyfikat, itp. to do jakiej instytucji trzeba się zgłosić? Udostępnij ten post Link to postu Udostępnij na innych stronach
ftt000 5 Zgłoś post Napisano Listopad 5, 2011 Po co w ogóle te dane przechowywac ? tak trudno wpisac klientowi niecałe 20 cyfr ? Przez strony , które trzymają te dane trwa proceder handlu skradzionymi danymi :/ Wpisz sobie w google "cvv for sale" ... Udostępnij ten post Link to postu Udostępnij na innych stronach
