Безопасность передачи данных простым текстом в браузере (данные кред. карт)
Работаю в отеле. Имеется сторонний сервис бронирования сайтов (специальный движок, который встроен в наш сайт, помогающий гостям бронировать номера). В процессе бронирования, гость переходит на сайт, который в браузере отображается как шифрованный (https) и вводит данные кредитной карты и прочие персональные данные. И завершает процесс бронирования кнопкой "Забронировать"
Здесь особых вопросов нет.
Вопрос в другом: списание с кредиток происходит вручную сотрудниками на странице компании, обслуживающей этот движок. Заходим по паролю и логину. Там список гостей и их бронирования. Рядом – ссылка, которая открывает отдельное окно. В нём данные кредитной карты, CVC, срок действия, имя держателя. Значка https при этом нет. Всё текстом.
Комментарий специалиста той компании, следующий: "Так как в экстранете не вводится информация, требующая шифровки, использовать https нет необходимости"
Насколько безопасен такой способ передачи данных карт?
комментариев: 510 документов: 110 редакций: 75
комментариев: 1060 документов: 16 редакций: 32
Собственно вот. Всё это передано открытым текстом.
комментариев: 60 документов: 1 редакций: 1
Причем тут троян? Любой снифер на протяжении всего канала, Вы – ваш провайдер – провайдер сервиса – сервис, получит данные as is. А обосновать просто – запустить, к примеру, wireshark, отправить эту самую форму с номером карты и CVC, и тут же вытащить их логов перехвата. После чего разработчика ткнуть рожей в это дело.
ЗЫ. вопреки всеобщему мнению, CVC не всегда нужен, на некоторых интернет магазинах можно покупать, просто введя номер карты, если, конечно она открыта для интернета и имеет нужный баланс. Так что сам номер карты я склонен относить в разряд тайны. Для этого собственно paypal и есть.
Одна из моделей угроз в вашем отеле, например, подкючение к интернету через безпроводку WiFi. При желании можно контролировать трафик в вашей беспроводной сети в том числе и данные клиентов.
Статья 857. ГК РФ
1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.
То есть по комментарию специалиста они нарушают Гражданский кодекс РФ.
Потребуйте у компании написать вам бумагу, что они гарантируют безопасность передачи данных и спите спокойно.
комментариев: 90 документов: 0 редакций: 0
Ага, а потом какой-то школьник проснифит траффик, и будет тратить деньги... Зачем отелю скандал?
Просто предьявите претензии тем "гениям от безопасности" и пусть переделывают.
Хотя, тут безопаснее обратится к другой фирме, по деньгам дороже, зто точно будте спокойно спать.
комментариев: 60 документов: 1 редакций: 1
комментариев: 510 документов: 110 редакций: 75
комментариев: 1 документов: 0 редакций: 0
CVV конфиденциальная информация и человек сказавший вам что канал не должен шифроваться не прав!
Выше Брайн уже написал про сниферы.
Есть такой вид мошенничества, когда клиент вводит данные своей кредитной карты или их попросту воруют поставив выше указанное ПО во внутренней сети.
При заказе товаров и оплате услуг, надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:.
Сертификат сайта — соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома.