Buongiorno a tutti.
Mi trovo a lavorare in una realtà che ha necessità di gestire
transazioni con carte di credito. L'azienda è un'azienda "media"
(quindi con possibilità contenute di implementare sistemi di sicurezza
"spinti"). Temo non ci sono le risorse economiche per prevedere la
totalità di misure di sicurezza ottimali per questo tipo di esigenza
(p.es. PCI-DSS v.1.2).
L'esigenza è di prevedere accrediti con carta di credito all'acquisto
di un bene, ma anche la gestione dei rinnovi. Non è possibile, per il
tipo di servizio che si vuole fornire, chiedere all'utente di fornire
nuovamente il numero per la transazione per ogni pagamento, evitando
così la memorizzazione.
Essendi consapevoli della complessità di gestire in modo corretto un
dato sensibile come il PAN della carta di credito, saremmo ben lieti
di utilizzare un servizio di supporto a questa necessità. Qualcosa
"tipo" GestPay di BancaSella o Paypal utilizzati per l'ecommerce su
internet sarebbe ben accetto (loro gestiscono i rapporti ed i PAN,
liberando il venditore della stragrande maggioranza delle necessità di
security).
Qual è la vosta esperienza in questo campo? Ci sono servizi che
gestiscono la transazionalità con Carta di Credito, con il vincolo di
dover gestire i rinnovi? La caratteristica necessaria per le nostre
esigenze (oltre a quella standard per i servizi di ecommerce) è la
necessità di memorizzare "da qualche parte" il numero di Carta di
Credito del cliente (possibilmente cifrato e sicuro nei sistemi del
fornitore di servizio) per la gestione dei rinnovi.
Saluti,
Mamo
PS
In uno scenario che preveda il trattamento con strumenti automatici
della Carta di Credito (sopratutto in caso di gestione con
memorizzazione del numero), i requisiti di PCI-DSS sono sicuramente
un'indicazione importante. Qual è la vostra esperienza su questo tema?
Io faccio il consulente da parecchio e ho avuto modo di vedere molte
realtà che trattano numeri di Carta di Credito senza avere le misure
previste da PCI-DSS....
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
