アカウント名:
パスワード:
以前ネット決済システムの仕事したとこがありますが、カードNoとかの与信情報って入力情報をそのまま決済システムに引き渡して、店舗(会社)側では保存しないようになっていました。「下手に持ってて漏らしたりしたらシャレにならないからな~」と納得していました。
与信情報が漏れたって事は、与信情報を社内で保存してたって事ですよね。何に使うつもりだったのだろうと気になります。
10年位前にそういうシステムをパッケージ+カスタマイズで購入したことがありますがカスタマイズ要件に「クレジットカード番号をストレージ内に保存するときは必ず暗号化されていること」を条件にしました。
納品されてサービス開始してしばらく経って、ふと思いついてサーバ内をgrepしたところカード番号、有効期限、ローマ字の名前、CAFISサーバから貰った承認番号の全てが平文で書かれているテキストを発見しました。システム納品をした業者は「これは決済ログでこれがないと決済エラーのトラブルシュートが出来ない」とのたまりましたが、平文である必要性は全く無いので無償で全改修させました。必ずしもSQLインジェクションだけが問題なわけではないです。みなさんもこういう課金システムを購入したときは、きちんとセキュリティ監査をしてもらった方が良いと思います。
>納品されてサービス開始してしばらく経って
受け入れ試験もしくは検収では何をやっていたのかと・・・
正論ですが、「受け入れ試験もしくは検収」が終わったら、まったく検証しないよりはましだと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
与信情報 (スコア:0)
以前ネット決済システムの仕事したとこがありますが、カードNoとかの与信情報って
入力情報をそのまま決済システムに引き渡して、店舗(会社)側では保存しないようになっていました。
「下手に持ってて漏らしたりしたらシャレにならないからな~」と納得していました。
与信情報が漏れたって事は、与信情報を社内で保存してたって事ですよね。
何に使うつもりだったのだろうと気になります。
Re:与信情報 (スコア:4, 興味深い)
10年位前にそういうシステムをパッケージ+カスタマイズで購入したことがありますが
カスタマイズ要件に
「クレジットカード番号をストレージ内に保存するときは必ず暗号化されていること」
を条件にしました。
納品されてサービス開始してしばらく経って、ふと思いついてサーバ内をgrepしたところ
カード番号、有効期限、ローマ字の名前、CAFISサーバから貰った承認番号の全てが平文
で書かれているテキストを発見しました。システム納品をした業者は「これは決済ログで
これがないと決済エラーのトラブルシュートが出来ない」とのたまりましたが、平文で
ある必要性は全く無いので無償で全改修させました。
必ずしもSQLインジェクションだけが問題なわけではないです。
みなさんもこういう課金システムを購入したときは、きちんとセキュリティ監査をして
もらった方が良いと思います。
Re:与信情報(無粋なもの-1) (スコア:1, すばらしい洞察)
>納品されてサービス開始してしばらく経って
受け入れ試験もしくは検収では何をやっていたのかと・・・
Re: (スコア:0)
正論ですが、「受け入れ試験もしくは検収」が終わったら、まったく検証しないよりはましだと思います。