nicht angemeldet
Umgang mit Kontodaten: sichere Programmierung
suitHallo,
folgende Frage:
Ich möchte auf meiner Seite eine Bezahl-Funktion auf PHP-Basis integrieren. Welche Techniken sollte ich verwenden um Konto- und Kreditkartendaten vor Missbrauch zu schützen? Wie sollte ich die Daten übertragen, wie verschlüsseln und wie ablegen?
Mein Plan war: Übertragung der Daten über eine gesicherte https Verbindung (ssl-Zertifikat ist vorhanden), Verschlüsselung mit mcrypt, Daten verschlüsselt in MySql-DB ablegen. Auslesen wieder über gesicherte Verbindung.
Ist das sicher?
Gibt es grundsätzliche Dinge, die man beachten muss. Weiss irgendwer eine gute Seite oder ein Buch zu dem Thema?
Danke für eure Hilfe!!
Matze
-
Ich möchte auf meiner Seite eine Bezahl-Funktion auf PHP-Basis integrieren. Welche Techniken sollte ich verwenden um Konto- und Kreditkartendaten vor Missbrauch zu schützen? Wie sollte ich die Daten übertragen, wie verschlüsseln und wie ablegen?
ohne dir zu nahe treten zu wollen - am besten garnich, frag jemanden, der sich mit sowas auskennt - es gibt viele clearing-provider die dafür sichere schnittstellen bereitstellen und auch dafür haften, mpay24 oder ähnliches
mir persönlich wäre die sache zu heiss - wenn durch eine sicherheitslücke entsprechende daten verloren gehen, hast du den arsch offen ;)
-
Ich möchte auf meiner Seite eine Bezahl-Funktion auf PHP-Basis integrieren. Welche Techniken sollte ich verwenden um Konto- und Kreditkartendaten vor Missbrauch zu schützen? Wie sollte ich die Daten übertragen, wie verschlüsseln und wie ablegen?
ohne dir zu nahe treten zu wollen - am besten garnich, frag jemanden, der sich mit sowas auskennt - es gibt viele clearing-provider die dafür sichere schnittstellen bereitstellen und auch dafür haften, mpay24 oder ähnliches
mir persönlich wäre die sache zu heiss - wenn durch eine sicherheitslücke entsprechende daten verloren gehen, hast du den arsch offen ;)
Hallo,
vielen Dank euch dreien!
Solche Dienste stehen leider wegen der Kosten nicht zur Debatte. Sonst könnte ich das Ganze auch komplett outsourcen... So werde ich mir die Kreditkartenidee wohl abschminken müssen.
Ist der von mir beschriebene Weg grundsätzlich sicher beim Umgang mit geheimen Daten? Müssen ja nicht gleich so sensibel sein wie die Kreditkartendaten.
Danke!
Matze-
Guten Tag,
Ist der von mir beschriebene Weg grundsätzlich sicher beim Umgang mit
geheimen Daten? Müssen ja nicht gleich so sensibel sein wie die
Kreditkartendaten.Wie kommst du darauf, dass Kontodaten weniger sensibel sind als Kreditkartendaten?
Gruß
Christoph Jeschke--
Zend Certified Engineer-
Hallo,
Wie kommst du darauf, dass Kontodaten weniger sensibel sind als Kreditkartendaten?
weil man die für wenig Geld bei jedem Adressehändler kaufen kann ;)
Gruß Klaus
-
Guten Tag,
weil man die für wenig Geld bei jedem Adressehändler kaufen kann ;)
Das stimmt zum Glück nicht.
Gruß
Christoph Jeschke--
Zend Certified Engineer
-
-
Guten Tag,
Ist der von mir beschriebene Weg grundsätzlich sicher beim Umgang mit
geheimen Daten? Müssen ja nicht gleich so sensibel sein wie die
Kreditkartendaten.Wie kommst du darauf, dass Kontodaten weniger sensibel sind als Kreditkartendaten?
Gruß
Christoph JeschkeVon Kontodaten war ja nicht die Rede, es geht mir ganz grundsätzlich um schützenswerte Daten. Es kann ja wohl nicht sein, dass man wegen Allem gleich zu irgend 'ner Spezialfirma rennen muss, weil man sonst Angst um seine Daten haben muss.
Und wenn's "nur" irgendwelche Passwörter sind, welche Technik bietet mir die beste Sicherheit?-
Guten Tag,
Von Kontodaten war ja nicht die Rede, es geht mir ganz grundsätzlich um
schützenswerte Daten. Es kann ja wohl nicht sein, dass man wegen Allem
gleich zu irgend 'ner Spezialfirma rennen muss, weil man sonst Angst um
seine Daten haben muss.In deinem Initialposting schreibst du von Konto- und Kreditkartendaten. Was nun?
Und wenn's "nur" irgendwelche Passwörter sind, welche Technik bietet mir
die beste Sicherheit?Die Daten gar nicht erst zu speichern.
Gruß
Christoph Jeschke--
Zend Certified Engineer-
In deinem Initialposting schreibst du von Konto- und Kreditkartendaten. Was nun?
Die Daten gar nicht erst zu speichern.
Gruß
Christoph JeschkeNein, es gibt auch andere Daten die ich schützen will. Und ich muss sie speichern. Also, kann mir keiner weiterhelfen?
Matze-
Hello,
Nein, es gibt auch andere Daten die ich schützen will. Und ich muss sie speichern. Also, kann mir keiner weiterhelfen?
Die sicherste Lösung für Deinen Fall scheint mir zu sein, die Datenhoheit zu Dir ins Haus zu verlegen. Also benötigst Du eine vernünftig schnelle Internetanbindung, einen Datenbank- und einen Webserver bei Dir im Haus. An den sollte dann außer Dir niemand außerhalb der vorgeschriebenen Wege herankommen.
Die ganze Bunte-Bilder-Welt kannst Du ja trotzdem über einen Hosting-Provider abwickeln. Da dreht sich dann der Traffic. Und die reine Datenerfassung wickslet Du über HTTPS dann mit Deinem Subdomain-Server im eigenen Hause ab. So machen das viele Leute, die ich kenne und die sich kein eigenes "Rechenzentrum" leisten können.
Wesentlich dafür dürfte aber die Investition in eine feste IP sein, was aber Dank QSC und vieler anderer Anbieter gar nicht mehr so teuer ist heute.
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
-
-
Hallo!
Und wenn's "nur" irgendwelche Passwörter sind, welche Technik bietet mir die beste Sicherheit?
Sicherheit ist nicht nur eine Frage der Technik. Sicherheit ist ein Prozess und so muss das auch angewendet werden. Wenn du sensible Daten - und Kreditkarten und Kontodaten sind verdammt sensible Daten - hast, dann musst du von vorn bis hinten auf die Sicherheit achten. Wie die Daten gespeichert werden ist da nur ein kleines Detail.
mfg
frafu
-
-
-
-
Hi there,
ohne dir zu nahe treten zu wollen - am besten garnich, frag jemanden, der sich mit sowas auskennt - es gibt viele clearing-provider die dafür sichere schnittstellen bereitstellen und auch dafür haften, mpay24 oder ähnliches
ich würd' sagen, Leute, die in eine offensichtlich selbstgestrickte Seite ihre Kreditkartennummer eingeben, sind Kummer ohnehin gewöhnt.
In der Sache hast Du natürlich recht, erstens bringt es nichts, das Rad ständig neu erfinden zu wollen und zweitens ist es wirklich zu riskant...
-
Hello,
ich würd' sagen, Leute, die in eine offensichtlich selbstgestrickte Seite ihre Kreditkartennummer eingeben, sind Kummer ohnehin gewöhnt.
Was soll denn der Unsinn? Fallen die Seiten, in die Leute ihre Kreditkartennummer eingeben können etwa vom Mond? Die sind doch auch 'selbstgestrickt', nur haben deren Entwickler vielleicht schon vor Jahren dieses Forum befragt. Irgendwann muss Matze schließlich anfangen, sich mit der Materie auseinanderzusetzen, wenn er sie durchschauen will.
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Irgendwann muss Matze schließlich anfangen, sich mit der Materie auseinanderzusetzen, wenn er sie durchschauen will.
richtig, aber in erster linie beginnt man nicht mit "wie mache ich das?" an sondern mit einem konzept, welches man segmentiert betrachtet und einzelfragen stellt
die verspeicherung von kreditkartendanten in einer datenbank (und das schützen dieser) ist etwas ganz anderes als die sicherung der eingabemaske und das übertragen über http(s)
und derart komplexe antwendungen werden nicht von einer person entwickelt sondern von mehreren und das modular - einer kümmert sich nur um die eingabemaske, der nächste nur um das ssl-zertifikat, ein dritter betreut die datenbank, ein vierter schützt das netzwerk vor unerlaubten zugriff - das ist keine sache wo ich einfach mal "nachfrage, wie ich da am besten vorgehe"
-
Hello,
Irgendwann muss Matze schließlich anfangen, sich mit der Materie auseinanderzusetzen, wenn er sie durchschauen will.
richtig, aber in erster linie beginnt man nicht mit "wie mache ich das?" an sondern mit einem konzept, welches man segmentiert betrachtet und einzelfragen stellt
*rotfl*
Der war gut :-)und derart komplexe antwendungen werden nicht von einer person entwickelt sondern von mehreren
Was ist an der Anwendung so komplex, dass man sich da nicht alleine herantrauen dürfte?
Rückfragen in Foren, Fachliteratur, beim Prof usw. sind während eienr Entwicklung schließlich nicht verboten.und das modular - einer kümmert sich nur um die eingabemaske, der nächste nur um das ssl-zertifikat, ein dritter betreut die datenbank, ein vierter schützt das netzwerk vor unerlaubten zugriff - das ist keine sache wo ich einfach mal "nachfrage, wie ich da am besten vorgehe"
Also ist Fragen nun doch verboten?
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Hi there,
Also ist Fragen nun doch verboten?
Fragen wird doch wohl noch erlaubt sein;) Also stell ich Dir die Frage, was antwortest Du jemandem, der in einem Forum fragt, wie man am besten einen Atomreaktor baut? Erzählst Du dem auch, wie er am besten damit anfängt?
-
Hello,
Also ist Fragen nun doch verboten?
Fragen wird doch wohl noch erlaubt sein;) Also stell ich Dir die Frage, was antwortest Du jemandem, der in einem Forum fragt, wie man am besten einen Atomreaktor baut? Erzählst Du dem auch, wie er am besten damit anfängt?
Wenn es ein Fachforum für Atomreaktoren wäre, wahrscheinlich schon :-)
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
-
-
-
-
-
-
Guten Tag,
Hallo,
folgende Frage:Ich möchte auf meiner Seite eine Bezahl-Funktion auf PHP-Basis integrieren. Welche Techniken sollte ich verwenden um Konto- und Kreditkartendaten vor Missbrauch zu schützen? Wie sollte ich die Daten übertragen, wie verschlüsseln und wie ablegen?
Nach dem du dir PCI DSS angesehen hast, wirst du dir einen Clearing-Provider suchen, der dies für dich erledigt, z.B. Telecash.
Gruß
Christoph Jeschke--
Zend Certified Engineer -
Hallo,
ich habe zwar noch keine Erfahrung damit gemacht, aber sieh dir mal http://www.mpay24.com an.
Markus
--
