アカウント名:
パスワード:
>とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。アクワイアラによっては初回にセキュリティコード+3Dセキュア通しても、カード情報(トークンナイズ済み含む)を保管した決済が不正利用と販売された場合はチャージバックが発生する事があるので改正割販法施行以前は、チャージバックを嫌がり(規約違反と知りつつor理解せず)セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした改正割販法施行後は理屈的には無いはずですが、PCIDSS取ってる所でもまぁそこは・・・
この手の問題はサイトが改竄されて犯人に入力情報が転送されている。必要なのは改ざん検知の導入なんだけど運営者には分かってもらえないのだ。
セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした
日本郵政「えっ?」https://www.post.japanpost.jp/service/you_pack/sumahowari/ [japanpost.jp]過去形でなく現在進行形でカード登録時にセキュリティコード入力が必須。
「入力が必要」と「保存している」は全然レベルが違って、カードの有効性確認のためオーソリ投げるためにセキュリティコードを入力させて、その値は保存せずに捨ててしまえば、不正アクセスによって、保存していたセキュリティコードが流出してしまうリスクは潰せる。
(画面を改竄されて、利用者の入力したセキュリティコードを横流しされるリスクは残る)
セキュリティコードって技術的なセキュリティじゃなくて「契約で守らせること」で保つセキュリティなので契約内容が理解できてない店舗のみならず、守る意志が全くない攻撃者にとってはほとんど効果がないんだよな。
経路も分けた多要素認証の時代に、こんな時代遅れの「なんちゃってセキュリティ」は廃止すべきだと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
セキュリティコードが無いと (スコア:0)
>とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。
アクワイアラによっては初回にセキュリティコード+3Dセキュア通しても、カード情報(トークンナイズ済み含む)を保管した決済が不正利用と販売された場合はチャージバックが発生する事があるので
改正割販法施行以前は、チャージバックを嫌がり(規約違反と知りつつor理解せず)セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした
改正割販法施行後は理屈的には無いはずですが、PCIDSS取ってる所でもまぁそこは・・・
Re: (スコア:0)
この手の問題はサイトが改竄されて犯人に入力情報が転送されている。
必要なのは改ざん検知の導入なんだけど運営者には分かってもらえないのだ。
Re: (スコア:0)
セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした
日本郵政「えっ?」
https://www.post.japanpost.jp/service/you_pack/sumahowari/ [japanpost.jp]
過去形でなく現在進行形でカード登録時にセキュリティコード入力が必須。
Re:セキュリティコードが無いと (スコア:2)
「入力が必要」と「保存している」は全然レベルが違って、
カードの有効性確認のためオーソリ投げるためにセキュリティコードを入力させて、
その値は保存せずに捨ててしまえば、不正アクセスによって、保存していた
セキュリティコードが流出してしまうリスクは潰せる。
(画面を改竄されて、利用者の入力したセキュリティコードを横流しされるリスクは残る)
Re: (スコア:0)
セキュリティコードって技術的なセキュリティじゃなくて「契約で守らせること」で保つセキュリティなので
契約内容が理解できてない店舗のみならず、守る意志が全くない攻撃者にとってはほとんど効果がないんだよな。
経路も分けた多要素認証の時代に、こんな時代遅れの「なんちゃってセキュリティ」は廃止すべきだと思う。