Όταν δεν υπάρχουν στοιχεία περί απάτης, δεν μπορείς να αναφέρεις όνομα ηλεκτρονικού καταστήματος. Μπορείς όμως να προειδοποιήσεις του αναγνώστες σου που σε διαβάζουν αδιαλείπτως εδώ και χρόνια για ένα red flag που είδαμε πριν από λίγες ώρες στην ενότητα τρόποι πληρωμής ενός καταστήματος ηλεκτρονικών ειδών.
Πιο συγκεκριμένα, το κατάστημα ζητάει αριθμούς πιστωτικών καρτών σε φόρμα παραγγελίας που κατά την άποψή μας είναι ένα πολύ επικίνδυνο πράγμα. Οι αριθμοί πιστωτικών καρτών πρέπει να πληκτρολογούνται μόνο σε ασφαλές περιβάλλον της τράπεζας. Επιπλέον, ένα άλλο red flag είναι το γεγονός ότι μόλις μπαίνεις στη σελίδα του καταστήματος, υπάρχει ειδοποίηση ότι το τηλεφωνικό κέντρο δεν λειτουργεί λόγω φόρτου εργασίας.
Η εμπειρία από το 365shop είναι ακόμη νωπή, οπότε χρειάζεται μεγάλη προσοχή γενικότερα στις μέρες μας. For the record, είναι ΙΚΕ (ιδιωτική κεφαλαιουχική εταιρεία) και έχει μόνο διαδικτυακή παρουσία.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
“Techmaniacs” και δεν ξέρουν πως δουλεύει το SSL…. Γιατί αν ήθελε κάποιος να κλέψει στοιχεία κάρτας – που θα τον πιάσουν αμέσως και θα επιστραφούν και τα χρήματα – δεν θα μπορούσε να μιμηθεί το redirect της τράπεζας με μεγαλύτερο ποσοστό επιτυχίας….
σ.σ. Κάποια από τα μεγαλύτερα κατάστημα χονδρικής και λιανικής χρησιμοποιούν την ίδια μέθοδο…
Εκτός από τυχαίος είσαι και άσχετος. Το να δώσεις την κάρτα σου στο κατάστημα με SSL είναι σαν να δίνεις την κάρτα σου με ασφαλή τρόπο σε ένα κλέφτη. Η συναλλαγή πρέπει να γίνεται σε περιβάλλον τράπεζας όπου μεταφέρεσαι προσωρινά μέχρι να τελειώσει η διαδικασία πληρωμής. Έτσι η επιχείρηση δεν έχει τα στοιχεία της κάρτας σου. Μόνο η τράπεζα και μόνο για εκείνη την συναλλαγή.
Τα στοιχεία της κάρτας πάντα αποθηκεύονται στην ιστοσελίδα που κάνεις την αγορά. Δεν υπάρχει άλλος τρόπος. Η επιβεβαίωση της πληρωμής γίνεται μεσω τράπεζας συνήθως με διπλή ταυτοποίηση του κατόχου. Είτε μέσω αριθμού τηλεφώνου είτε μέσω app τηλεφώνου.
Προφανως τα στοιχεια ΔΕΝ αποθηκευονται σπο κανενα σαιτ, τουλαχιστον όταν λειτουργεί σωστα. Μην γραφεται στα σχολια οτι σας ερχεται η τι κανει ενα ισοπ ξερετε, επειδη αν δεν ειναι απατεωνες ειναι απλα ατζαμηδες.
Ψάξτε πρώτα για το πρότυπο ασφαλείας PCI DSS και μετα μιλήστε. Αν το κατάστημα έχει την πιστοποίηση μπορεί να προχωρήσει σε πληρωμές στην σελίδα του.
Εδώ η πλειοψηφία των eShop δεν ενημερώνει κάποιο css bug, θα έχει proper IT & security για να μπορεσει να έχει τα requirements για PCI DSS? Και για ποιον σκοπό; Για να μην ανοίγει popup το interface της τράπεζας/PayPal?
Να μου έλεγες ότι έχει κάποιο τόσο πολύ intuitive purchase flow που δεν θέλει να κάνει disrupt, να φανταστώ κάποιον να περάσει όλα τα hoops για 6 μήνες -1 χρόνο ώστε να πάρει PCI DSS. Αλλά για ένα woo commerce σε shared hosting θα μιλάμε.
Let’s be realistic. Δεν παίζει
Μπορεί να μην ήξεραν και δεν ρώτησαν…
Τι μπούρδες διαβάζω Θεέ μου!
Καλά λένε πως η ημιμάθεια είναι χειρότερη της αμάθειας.
Σύμφωνα με το PCI DSS απαγορεύεται η αποθήκευση των στοιχείων της κάρτας. Αποθηκεύονται μόνο τα στοιχεία της συναλλαγής με το token που δημιουργείται αποκλειστικά από τη τράπεζα για τη συγκεκριμένη συναλλαγή.
Όποιος αποθηκεύει στοιχεία καρτών είτε με ssl είτε όχι, το κάνει παρατύπως και αν τον ανακαλύψει η τράπεζα έχει τη δυνατότητα να διακόψει συνεργασία.
Υπάρχει η δυνατότητα προ δέσμευσης χρημάτων σε παραγγελία και πραγματικής δέσμευσης εφόσον εκτελεστεί η παραγγελία χωρίς να έχεις τα στοιχεία της κάρτας, παρά μόνο τα στοιχεία της πρώτης συναλλαγής.
Αν δεν γνωρίζετε μη γράφετε ότι να ναι.