アカウント名:
パスワード:
つーか、いい加減流出に耐性あるクレカシステムってできないものかネットバンキングで配ってる同期乱数機しか思いつかないが金かかるからサボッてるんだろうなセキュリティコードなんていう 笑 しかコメントできない、桁数を増やしただけでお茶を濁している現状を何とかしてほしい
ご存じないのかもしれませんが
カード決済したいだけならECサイトがクレカの番号を保存する必要はありません、再決済もカード番号無しで可能です。
ふつうにシステム組んでいればカード番号流出のリスクは本来ありません。
普通に組むというのが決済手続きの仕組みについてよく理解しないままシステムを組むことを指すためにこうなってしまうのでは?
普通に組んでカード情報が自社サーバを通らないようにしていたものを利便性向上のための改良(とセキュリティの改悪)のためカード情報が自社サーバを通ってログに書き出していたとリリースには書いてある。それにしても、流出したのはカード情報とグラフィック会員IDのみとあるのにログインパスワードの変更を求めているのはなぜに?
amazonなんかも、カード情報を自社保持しているように思えるけどあれは大丈夫なんですかね。
完全な番号+CVVを取り扱うのは初回だけで後はトークンで持ってんじゃない? 盗んでも使えない情報だけが残してあると思う
だいたいはサンプルプログラムがついてくるのでそのとおりにすればカード番号は保存しないですむはず。また、契約携帯にもよりますが「入力などで受け取ったカード番号は保存しないように」と決済会社から説明があると思います。
流出しても395×500=200万円弱とかペナルティがしょぼ過ぎるから間抜けな事例が後を絶たない。それすら払わん所もあるし。
取敢えずもう二桁上げれば、少しはマシになるんじゃないかな。
一件五百円は民事訴訟の金額で刑事罰ではありません。故に上げ下げするものでもありません。
裁判所に決める権限があるから、「判例より賠償を高くして」という話じゃない?
20万、じゃないの?
まぁ、額は問題じゃないし、その単価は事業者の自主的なお詫びの気持ちなので大した意味はないし。
利用する決済代行システムによって違うしパッケージのECシステム利用する時は決済代行選べない場合もある
カード情報登録型だと顧客からどのカード登録したか忘れたって問い合わせもあるので下4桁とかを保存しているところもある
「保存してはダメ」という考え方とその理由が末端の人員にまでちゃんと浸透していないとしれっと記録されちゃったりするんですよね
以前関与した某システムでは通常時はクレカ番号は保存されない仕様にも関わらず決済サーバとの通信がエラーになった時に限りクレカ番号を含む決済情報がエラーログに吐き出されていました
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
流出したときのガイドラインってあるのかな (スコア:0)
つーか、いい加減流出に耐性あるクレカシステムってできないものか
ネットバンキングで配ってる同期乱数機しか思いつかないが
金かかるからサボッてるんだろうな
セキュリティコードなんていう 笑 しかコメントできない、桁数を増やしただけで
お茶を濁している現状を何とかしてほしい
Re:流出したときのガイドラインってあるのかな (スコア:1)
ご存じないのかもしれませんが
カード決済したいだけならECサイトがクレカの番号を保存する必要はありません、
再決済もカード番号無しで可能です。
ふつうにシステム組んでいればカード番号流出のリスクは本来ありません。
Re: (スコア:0)
普通に組むというのが決済手続きの仕組みについてよく理解しないままシステムを組むことを指すためにこうなってしまうのでは?
Re:流出したときのガイドラインってあるのかな (スコア:2)
普通に組んでカード情報が自社サーバを通らないようにしていたものを利便性向上のための改良(とセキュリティの改悪)のためカード情報が自社サーバを通ってログに書き出していたとリリースには書いてある。
それにしても、流出したのはカード情報とグラフィック会員IDのみとあるのにログインパスワードの変更を求めているのはなぜに?
Re: (スコア:0)
amazonなんかも、カード情報を自社保持しているように思えるけど
あれは大丈夫なんですかね。
Re:流出したときのガイドラインってあるのかな (スコア:2)
Re: (スコア:0)
完全な番号+CVVを取り扱うのは初回だけで後はトークンで持ってんじゃない? 盗んでも使えない情報だけが残してあると思う
Re:流出したときのガイドラインってあるのかな (スコア:1)
だいたいはサンプルプログラムがついてくるのでそのとおりにすればカード番号は保存しないですむはず。
また、契約携帯にもよりますが「入力などで受け取ったカード番号は保存しないように」と決済会社から説明があると思います。
Re: (スコア:0)
流出しても395×500=200万円弱とかペナルティがしょぼ過ぎるから間抜けな事例が後を絶たない。それすら払わん所もあるし。
取敢えずもう二桁上げれば、少しはマシになるんじゃないかな。
Re: (スコア:0)
一件五百円は民事訴訟の金額で刑事罰ではありません。故に上げ下げするものでもありません。
Re: (スコア:0)
裁判所に決める権限があるから、「判例より賠償を高くして」という話じゃない?
Re: (スコア:0)
20万、じゃないの?
まぁ、額は問題じゃないし、その単価は事業者の自主的なお詫びの気持ちなので大した意味はないし。
Re: (スコア:0)
利用する決済代行システムによって違うし
パッケージのECシステム利用する時は決済代行選べない場合もある
カード情報登録型だと顧客からどのカード登録したか忘れたって問い合わせもあるので下4桁とかを保存しているところもある
Re: (スコア:0)
「保存してはダメ」という考え方とその理由が
末端の人員にまでちゃんと浸透していないと
しれっと記録されちゃったりするんですよね
以前関与した某システムでは
通常時はクレカ番号は保存されない仕様にも関わらず
決済サーバとの通信がエラーになった時に限り
クレカ番号を含む決済情報がエラーログに吐き出されていました