PDA

View Full Version : Sicurezza dati sensibili sul web


Svipla
08-09-2014, 12:25
Ciao a tutti
sto realizzando un piccolo portale per la prenotazione di camere online. Al termine della prenotazione il cliente deve inserire i dati della carta di credito come garanzia. Il mio cliente mi ha chiesto di inviare questi dati via mail all'hotel.
1. Anche se sono contrario all'invio dei dati via mail, c'è qualche modo per inviare i dati in sicurezza?
2. I dati saranno visibili anche da pannello di controllo del sito, consigli su come garantire la sicurezza di questi dati? Consigli sulla sicurezza del login al pannello?
3. Dopo posso trovare info sul salvataggio di dati sensibili da un punto di vista legale per evitare casini o che il portale venga chiuso?

Qualsiasi consiglio per garantire la sicurezza dei dati è gradita. Vorrei approffondire la sicurezza per portali ecc
Grazie mille

P.S.: portale realizzato in asp.net 4.0 e sqlserver

tomminno
08-09-2014, 13:38
Usa PayPal (o qualunque altro servizio) come gateway di pagamento con Carte di Credito. E non memorizzare mai Carte di Credito con una tua soluzione personale.

Se proprio sei curioso di sapere quali sono le best practice di sicurezza da adottare guarda qui: https://www.pcisecuritystandards.org/
Non è solo il software è anche l'infrastruttura che deve rispettare dei requisiti di sicurezza e dubito che un sito di prenotazione camere online possa avere un'infrastruttura dedicata... ;)

Svipla
08-09-2014, 14:19
Ciao e grazie
il cliente non paga online la prenotazione, ma lascia in garanzia i dati della sua carta di credito.
Non posso utilizzare paypal

OoZic
08-09-2014, 18:08
"l'orrore" cit.

non farlo è sbagliatissimo.

ti consiglio anche io di affidarti a una soluzione esistente, sono sicuro che con paypal o altro puoi "bloccare" una somma o solo verificare la carta di credito.

se proprio proprio vuoi fare le cose sbagliate allora ti direi che una buona opzione è un form compilato dall'utente sotto https (certificato valido non self-signed) che invia dati a una API sotto https.

crea poi una web view che faccia vedere i tuoi dati ricevuti da quell'API.

in ogni caso te lo sconsiglio vivamente.

FreeMan
08-09-2014, 20:54
sezione errata

CLOSED!!

>bYeZ<