Onderwerp: Veilig Online Shoppen

We zijn bezig met een nieuwe webwinkel en daarover een vraag.

Creditcardbestellingen worden uiteraard via een beveiligde (ssh) pagina verwerkt. Maar dan. Is het veilig om deze creditcard gegevens per email naar de winkeleigenaar te sturen?

Nee, dat is niet veilig.. Email kan op diverse punten afgeluisterd worden. Vervolgens staat het onversleuteld op de mailserver van de winkeleigenaar waar je misschien zelf geen controle over hebt.

Je kan beter een SSL webpagina maken op je eigen server (achter een wachtwoord en/of IP restrictie) waar deze gegevens op te vragen zijn, en dan de winkeleigenaar een linkje daarheen sturen.

Daar kun je dan zelfs nog een log functie op maken zodat het sneller duidelijk wordt als een onbevoegd persoon die pagina probeert op te vragen.

Met die email server zit het wel goed maar de afluisterpunten verontrusten mij.

Dus de bestellingen elke dag van de server halen. Zijn er dan geen afluisterpunten trouwens?

Het liefst toch een e-mailtje thuis met alle bestelgegevens, inclusief de kredietkaart.

Niet mogelijk?

Origineel geplaatst door Henky!
Met die email server zit het wel goed maar de afluisterpunten verontrusten mij.

Dus de bestellingen elke dag van de server halen. Zijn er dan geen afluisterpunten trouwens?

Het liefst toch een e-mailtje thuis met alle bestelgegevens, inclusief de kredietkaart.

Niet mogelijk?

Encrypten. En door de eigenaar van de shop laten decrypten. Wil niet zeggen dat het simpel (lees gebruiksvriendelijk) is, maar het kan wel

Simpele(re) oplossingen:

- sla een deel op in je database en mail het andere deel van het kaartnummer.

- kopieer de kaart-records ieder uur(?) via SSH (dus encrypted) naar een lokale server en wis ze vervolgens op de online server.

Of.. laat het geheel over aan een payment club waar je de bezoeker naartoe doorlink. Krijg je ook nooit problemen omdat je nu eenmaal die credit card gegevens nooit in handen heb gehad.

Nee, geen dure gateway oplossingen.....

Zijn hier echt geen simpeler oplossingen voor?

Origineel geplaatst door Henky!
Nee, geen dure gateway oplossingen.....

Zijn hier echt geen simpeler oplossingen voor?

Duur is relatief. Als er wat klachten komen dat jij / jouw klant onterecht aan het graaien is geweest dan wordt het ineens een heel ander verhaal.

Je zou de suggestie van Easewood kunnen volgen en een deel van het CC nummer in de DB opslaan en het andere deel per e-mail
1 deel van het nummer is nutteloos.. Vind het niet de beste oplossing maar het is altijd beter dan het volledige nummer per unencrypted e-mail te versturen.

Ik weet dat dit een legale methode is, ook vanuit de creditcard maaschappijen hun visie.

Dit omdat bij het submitten (via SSL, dat uiteraard wel) van het kaartnummer DIRECT het mailtje vertrekt met het gedeeltelijke nummer. De rest wordt opgeslagen in de database. Er is dus geen moment waarop het volledige nummer opgeslagen is. (Dit mag namelijk niet van Visa en consorte).

Als het teveel moeite is om zoiets te maken zou ik eens naar open source shopping carts kijken. Van osCommerce weet ik in ieder geval zeker dat de creditcard module het op deze wijze oplost.

Origineel geplaatst door Easewood
Ik weet dat dit een legale methode is, ook vanuit de creditcard maaschappijen hun visie.

Dit omdat bij het submitten (via SSL, dat uiteraard wel) van het kaartnummer DIRECT het mailtje vertrekt met het gedeeltelijke nummer. De rest wordt opgeslagen in de database. Er is dus geen moment waarop het volledige nummer opgeslagen is. (Dit mag namelijk niet van Visa en consorte).

Als er gebruik wordt gemaakt van pop3 en de eigenaar van de winkel haalt zijn mail op van dezelfde server, dan wordt aan voornoemde voorwaarde niet voldaan.

Geaccepteerde methode!=beste methode

Helemaal mee eens. Het is dan ook zinvol om een extern adres te gebruiken.

Maar Henky! wil duidelijk een goedkope oplossing in eigen beheer.

Ja, een practische oplossing vooral. Is het eigenlijk niet zo dat de meeste winkeltjes alle gegevens gewoon in een enkel emailtje stoppen?