פורסם: 06/01/2012 - 17:40
נושא ההודעה: אבטחת מידע של כרטיסי האשראי בישראל.
|
|
יש משהו שמאוד מציק לי בזמן האחרון.
כולם מדברים על כמה האתרים לא היו מאובטחים כאשר למעשה הבעיה העיקרית היא חברות האשראי.
קחו לדוגמא את מודל פייפאל, האתרים לא מקבלים את כרטיס האשראי אלא רק מספרי עסקאות וכתובות משלוח.
לא ניתן לאבטח כל אתר בארץ זה פשוט לא הגיוני וחברות האשראי מנצלות את הבורות כדי להסית את צומת הלב לאתרים האלו.
כיום בישראל כרטיס אשראי כמוהו כסיסמא סימטרית שזה פשוט מגוחך בעידן שלנו.
מה שהכי מציק לי הוא שאין אף אחד בתקשורת שמדבר על זה או מפנה את צומת הלב של המדינה לנושא כי ברור שהחברות עצמן לא מסוגלות לדחוף את עצמן להסדיר את הנושא.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 06/01/2012 - 18:53
נושא ההודעה:
|
|
צחי, המטרה של התשקורת זה לשלוט על ידי הפחדה.
למה להם להציע פתרון שימנע מהם למחזר את הסיפור כל כמה חודשים ?
פחד == רייטינג
|
|
|
| חזרה לתוכן הדיון |
פורסם: 06/01/2012 - 23:04
נושא ההודעה:
|
|
אבל למה אתה מצפה? שחברות אשראי יקימו paypal חדש?
על מה שאתה מדבר זה נקרא "paymant gateway" ואני מקווה ששום חברת אשראי לא תשלוט בזה. בעצם אתרים אשמים שלא השתמשו באיזשהו payment gateway והחליטו לאחסן מדע אצלם...
אין לאשים אף אחד חוץ מאתרים שלא שמרו על נתונים כמו שצריך. לא חברות אשראי, לא ממשלה ולא תקשורת...
_________________
Computers are incredibly fast, accurate and stupid. Human beings are incredibly slow, inaccurate and brilliant. Together they are powerful beyond imagination.
unknown --
|
|
|
| חזרה לתוכן הדיון |
פורסם: 07/01/2012 - 08:34
נושא ההודעה:
|
|
יש ביטוח על כל כרטיסי האשראי למקרה ואינך יודע על מה אתה משלם,והתקשורת גם עזרה לנפח את הבלון הזה יותר מדי.
האופן בו חברות האשראי שמרו את הפרטים זה באמת לא רציני,אבל יש ביטוח למזלינו.
יש גם הודעה חינם מחברת האשראי אם הכרטיס היה בשימוש חריג שנותנת הודעה לבעל הכרטיס מיד. יש לי מישראכרט שירות sms חינם על כל חיוב החל מ 500 ש"ח ומעלה מיד אחרי החיוב מגיעה הודעה. כל בעל כרטיס יכול לקבל את השירות הזה עד כמה שידוע לי.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 07/01/2012 - 10:31
נושא ההודעה: אתה טועה
|
|
צחי שלום.
בעולם קיים תקן הכרוי PCI לאבטחת עסקאות בכרטיסי אשראי. מי שעומד מאחורי התקן הוא 5 חברות הארשאי העולמיות. התקן נכתתב ה 2006 ושוכלל מאז. כל מי שמעבד, מעביר, סולק כרטיסי אשראי חייבלעמוד בתקן. בין אם הוא חברה קטנה או קונצרן ענק. הבעיה היא שחברות האשראי לא מקפידות לדרוש עמידה מלאה בתקן. אגב, לכל חברת אשראי יש רפרנט שאחראי בדיוק על הנושא הזה של לדרוש מחברות אחרות מולן הם עובדים עמידה בתקן. התקן עצמו מקיף ומכסה נזואים כגון הצםנת הנתונים, שמירתם המאובטחת ועודץ בסך הכל 12 נשואים מהותיים לטיפול. חברות האשראי צריכות להבין שבמקרה זה הן הרגולטור והאחריות היא עליהן, לדרוש מימוש מלא של התקן מול כל החברות להן הן מספקות שירות.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 07/01/2012 - 15:57
נושא ההודעה:
|
| Tank : | צחי, המטרה של התשקורת זה לשלוט על ידי הפחדה.
למה להם להציע פתרון שימנע מהם למחזר את הסיפור כל כמה חודשים ?
פחד == רייטינג |
++
|
|
|
| חזרה לתוכן הדיון |
פורסם: 07/01/2012 - 20:56
נושא ההודעה: Re: אבטחת מידע של כרטיסי האשראי בישראל.
|
| צחי : |
קחו לדוגמא את מודל פייפאל, האתרים לא מקבלים את כרטיס האשראי אלא רק מספרי עסקאות וכתובות משלוח.
|
ומה בדיוק עדיף בשיטה הזו? ראשית, החיוב מתבצע ע"פ זיהוי של סיסמה + מייל - דבר מאובטח פחות ממספר כ.אשראי (אדם ממוצע - המייל שלו ידוע לסובבים אותו ובעידן הפייסבוק לכל העולם, והסיסמאות שאנשים בוחרים - באמת שאין צורך להרחיב, ואשראי אנשים לא נותנים לכל אחד).
ושנית, בכל מקרה אתה מעביר לחברה בלעדית את המידע על כרטיסי האשראי של *כל* המשתמשים, שיכולה להפרץ בעצמה ואז הנזק כפול ומכופל.
אני בטוח שפייפאל משקיעים הון כדי לאבטח את השירות שלהם ולנסות להמנע מחדירות,פריצות ושאר בעיות אבטחה; אבל זה עדיין לא אומר שאחת כזו לא יכולה לקרות, ודמיין את הנזק אז.
_________________
מערכת: GNU/Linux Ubuntu גרסה: 14.04
|
|
|
| חזרה לתוכן הדיון |
פורסם: 07/01/2012 - 22:03
נושא ההודעה:
|
|
הבעיה הבסיסית היא שכרטיס אשראי הוא שיטה מאוד לא בטוחה. כל מי שמחזיק בידו את מספר הכרטיס יכול (בעיקרון) לפעול בשמך. מהסיבה הזו חברות האשראי לוקחות על עצמן את הסיכון (וגם גובות עמלה מתאימה לשם פיצוי).
זה שאלה של אמון. בעבודה מול paypal אתה צריך לסמוך רק על paypal. אתה נותן לה הרשאה לחייב את כרטיס האשראי שלך וסמוך על כך שהיא תחייב אותו רק בהתאם להוראותיך. בינתיים נראה שאפשר לסמוך עליהם. כמובן שאחריותך היא לבחור סיסמה טובה.
אם אתה קונה דרך סתם אתר לא אמין, אתה סומך גם עליו שיחייב רק בהתאם להוראות שלך.
יש גם אתרים שמוכנים לקבל כרטיס אשראי אבל לא מוכנים לשמור אותו אצלם. זה אומר שכל תשלום אצלם מחייב הכנסה מחודשת של פרטי הכרטיס. אבל זה גם אומר שהם לא רוצים לקחת אחריות על שמירת המידע הרגיש של פרטי כרטיס האשראי.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 08/01/2012 - 18:16
נושא ההודעה: התקן החדש pci dss סוגר את הפינה הזו.
|
|
התקן אומר שלא סולקים באתר הלקח אלא רק באתר החברה המורשית לסליקה ושהאתר שלה עומד בתקן...
|
|
|
| חזרה לתוכן הדיון |
פורסם: 08/01/2012 - 18:54
נושא ההודעה:
|
|
pci= payment card industry
דורון
|
|
|
| חזרה לתוכן הדיון |
פורסם: 10/01/2012 - 10:55
נושא ההודעה:
|
| confiq : | אבל למה אתה מצפה? שחברות אשראי יקימו paypal חדש?
על מה שאתה מדבר זה נקרא "paymant gateway" ואני מקווה ששום חברת אשראי לא תשלוט בזה. בעצם אתרים אשמים שלא השתמשו באיזשהו payment gateway והחליטו לאחסן מדע אצלם...
אין לאשים אף אחד חוץ מאתרים שלא שמרו על נתונים כמו שצריך. לא חברות אשראי, לא ממשלה ולא תקשורת... |
הבעיה זה לא בשמירת מידע, אלא באופן שבו שומרים אותו.
במקום להשתמש בשיטות מוכחות של טקניזציה מבוססת חומרה למשל של Safenet, לא בטוח בכלל שעושים איזשהי הצפנה למסדי נתונים או אבטחה ברמה מעט גבוהה מאשר הרשאות domain.
|
|
|
| חזרה לתוכן הדיון |
|
|
ת.הצטרפות: 12/04/2002
·
הודעות: 1101
·
מיקום: ישראל
![שלח דוא\](./modules/PNphpBB2/templates/PNTheme/images/lang_hebrew/icon_email.gif "שלח דוא\"){kind=icon}
