[]
backend developerlar bir soru: kredi kartı bilgilerinin sistemde tutulması.
çalıştığım sistem ısrarla kredi kartı bilgilerini sistemde tutmamı istiyor. teknik bilgileri de mevcut değil. ancak bu şirket kredi kartlarını online satışta kaydetmemi istemiyor sunucuya. müşteri ofiste bir sözleşme imzalıyor ve o sözleşmede kredi kartı bilgilerinin ilgili trafik cezalarının tasilatı ve benzeri hasarlarda tahsilat için kullanılabileceği gibi bilgiler yazıyor.
yani her müşteri kredi kartlarının şirkette tutulacağını okuduğu bir sözleşme imzalıyor.
o sözleşme üzerinden sözleşmede belirtilen şeylerle alakalı tahsilatlar yapılacak olduğu zaman birden fazla kart olduğu için sunucuda kayıtlı olmasını istiyorlar...
sizce bunun hukuksal boyutu nedir? sözleşme olduğuna göre kredi kartlarını sunucuda tutmak yasal mıdır?
riski nasıl minimize edebilirim?
yani her müşteri kredi kartlarının şirkette tutulacağını okuduğu bir sözleşme imzalıyor.
o sözleşme üzerinden sözleşmede belirtilen şeylerle alakalı tahsilatlar yapılacak olduğu zaman birden fazla kart olduğu için sunucuda kayıtlı olmasını istiyorlar...
sizce bunun hukuksal boyutu nedir? sözleşme olduğuna göre kredi kartlarını sunucuda tutmak yasal mıdır?
riski nasıl minimize edebilirim?
Veri güvenliği bakımından PCI-DSS sertifikası gerekiyor.
Bu tür hizmetler veren kurumlar var Token Service Provider sıfatıyla.
Onlarla entegrasyon yapabilirsin belki.
Bu tür hizmetler veren kurumlar var Token Service Provider sıfatıyla.
Onlarla entegrasyon yapabilirsin belki.
- cakabo
(01.02.17 23:28:51)
patron riski göze alıyorum diyor? ısrar edeyim mi saklayamayız diye? napayım ben?
- sahipsiz (01.02.17 23:36:11)
Kesinlikle yasal değil, fakat bundan sizi sorumlu tutamaz, sonuçta şirketin yazılımı, şirket sorumlu olur.
Bence yurtiçiyse iyzico, yurtdışı ise ki sanmıyorum stripe, braintree gibi alternatifleri sunun.
Eğer illa kart saklayacagız diyorsanız bu servislerin kart saklama özellikleri de var. Geçtiğimiz hafta yazdığımız platforma entegre ettik gayet sağlıklı çalışıyor.
Kart bilgilerini veriyorsunuz, size bir kart token veriyor o tokenı saklıyorsunuz. Sonraki işlemlerinizde token ve client id ile istediğiniz zaman çekim yapabiliyorsunuz.
Bence yurtiçiyse iyzico, yurtdışı ise ki sanmıyorum stripe, braintree gibi alternatifleri sunun.
Eğer illa kart saklayacagız diyorsanız bu servislerin kart saklama özellikleri de var. Geçtiğimiz hafta yazdığımız platforma entegre ettik gayet sağlıklı çalışıyor.
Kart bilgilerini veriyorsunuz, size bir kart token veriyor o tokenı saklıyorsunuz. Sonraki işlemlerinizde token ve client id ile istediğiniz zaman çekim yapabiliyorsunuz.
- ocanal (01.02.17 23:49:37)
veritabanında öyle dümdüz kart bilgisi saklamaya (şifrelesen de olmaz, onların istediği yöntem olmadıktan sonra yine yasak) kart kuruluşları izin vermiyor, dolayısıyla bankalar da izin vermiyor. eğer anlaşılırsa sizin patronun pos hesabı ile banka hesapları iptal edilir (pos hesabı iptal edilince geri dönüşü yok, kuralları kredi kartı şirketleri koyduğu için hangi banka olursa olsun ömür boyu bir daha pos alamaz, bunu anlatın ona) ve büyük ihtimalle iki şirket tarafından da mahkemeye verilir. hayatı kayar.
kart saklayabilen şirketler var, yukarıda da yazılmış. onların bu konuda sertifikaları ve izinleri var, onlarla çalışın.
Bu arada kara liste hakkında bilgi vereyim. Her kart kuruluşu bu tür listeler tutuyor. Dolayısıyla bir bankaya gidip sanal pos başvurusu yaptığınız zaman bu başvurudaki bilgileriniz (bankanın Barbados, Zambiya veya Türkiye'de olması önemli değil) bu veritabanında aranıyor. Eğer listedeyseniz sanal pos alamıyorsunuz çünkü dünyadaki tüm bankalar üç dört büyük kart şirketiyle çalışıyor zaten. Örneğin Visa'nın karalistesine giren adam diğerlerininkine de gireceği için haliyle eticaret hayatı sona ermiş oluyor. İyi de olur bence, bu kadar sorumsuz biri ürün satmasın zaten.
Türkçesi yok ne yazık ki, genelde "Terminated Merchant List" veya "Match List" diye geçiyor.
en.wikipedia.org
Bu listeye girmiş olan ve yıllardır çıkamayan insanlar var. Sizin patron da bunlardan biri olabilir, bunu anlatın.
Bu listede kimler var?
- Arkadaşlık sitesi işletiyormuş gibi yapıp insanları dolandıranlar
- Sahte çay / zayıflama hapı vb satanlar
- Kara para aklamaya çalışıp yakalananlar
- Cinsel içerikli ürün satanlar ve sattığı bir ürün için her ay karttan para çekip 2-3 ay sonra pos hesabı kapatılanlar
- Yasadışı ilaç satanlar
- Chargeback oranı yüksek olanlar (Yukarıdakilerin hepsi %100'e yakın chargeback oranına sahip şeyler ama o işleri yapmayıp doğru düzgün bir iş yürütüp yine bu listeye girmeyi başaran insanlar var, onu da söyleyeyim)
vb.
Hoş bir liste değil.
kart saklayabilen şirketler var, yukarıda da yazılmış. onların bu konuda sertifikaları ve izinleri var, onlarla çalışın.
Bu arada kara liste hakkında bilgi vereyim. Her kart kuruluşu bu tür listeler tutuyor. Dolayısıyla bir bankaya gidip sanal pos başvurusu yaptığınız zaman bu başvurudaki bilgileriniz (bankanın Barbados, Zambiya veya Türkiye'de olması önemli değil) bu veritabanında aranıyor. Eğer listedeyseniz sanal pos alamıyorsunuz çünkü dünyadaki tüm bankalar üç dört büyük kart şirketiyle çalışıyor zaten. Örneğin Visa'nın karalistesine giren adam diğerlerininkine de gireceği için haliyle eticaret hayatı sona ermiş oluyor. İyi de olur bence, bu kadar sorumsuz biri ürün satmasın zaten.
Türkçesi yok ne yazık ki, genelde "Terminated Merchant List" veya "Match List" diye geçiyor.
en.wikipedia.org
Bu listeye girmiş olan ve yıllardır çıkamayan insanlar var. Sizin patron da bunlardan biri olabilir, bunu anlatın.
Bu listede kimler var?
- Arkadaşlık sitesi işletiyormuş gibi yapıp insanları dolandıranlar
- Sahte çay / zayıflama hapı vb satanlar
- Kara para aklamaya çalışıp yakalananlar
- Cinsel içerikli ürün satanlar ve sattığı bir ürün için her ay karttan para çekip 2-3 ay sonra pos hesabı kapatılanlar
- Yasadışı ilaç satanlar
- Chargeback oranı yüksek olanlar (Yukarıdakilerin hepsi %100'e yakın chargeback oranına sahip şeyler ama o işleri yapmayıp doğru düzgün bir iş yürütüp yine bu listeye girmeyi başaran insanlar var, onu da söyleyeyim)
vb.
Hoş bir liste değil.
- hayirsiz
(01.02.17 23:59:44 ~ 02.02.17 00:42:11)
PCI-DSI edinilmesi çok meşakkatli bir standart.
Bankalar bu standartta sahip kurumlara daha kolay pos verir. Bir nevi kredi kartı güvenliğini sağladığınızı gösteren bir serifikadir bu.
1milyon transaction'i geçtiğiniz an PCI'ya dahil olursunuz.
Kredi kartı bilgisi geçen uygulamalar dışarı çıkamaz, kredi kartı bilgisi ayrı bir networkte hashli bir şekilde tutulur. Buraya sadece kilit kişilerin erişim yetkisi vardır. Kredi kartı bilgileri kimse göremez.
Yani içerideki tüm uygulamalarını A-Z'ye tekrar ayar çekmek gerekir.
Eger PCI varsa kredi kartı bilgilerini, CVV hariç muhafaza edebilirsiniz. Tabi aylık batch işlemlerde cvv bilgisi gerekir. PCI da tutma der, salaklik. Bu da banka-kurum güven iliskisiyle aşılır.
Yakında bu standart kucuk işletmelere de geleceği konuşuluyor.
Soruna gelirsek; benim bugüne kadarki tecrübem, bu işlerin sözle yapılmayacağı ve cok kolay göte kaçabileceği yönünde.
Yani sözle is yapma. Bu seni korkutmasın. Yarın öbür gün sıkıntı çıksa sorumlu ve muhatap doğrudan şirketin yoneticileri. Bunu developer yaptı diye savunma yapamazlar.
Gene de kendini sağlama almak icin, yazılı olarak ısı detaylı geçmelerini iste.
Yapmak zorunda kalırsan asla müşteri onayı alınmadan bilgileri saklama. Sakladığın bilgiler hash'li, her önüne gelenin göremeyeceği şekilde güvenli olsun.
Kolay gelsin.
Bankalar bu standartta sahip kurumlara daha kolay pos verir. Bir nevi kredi kartı güvenliğini sağladığınızı gösteren bir serifikadir bu.
1milyon transaction'i geçtiğiniz an PCI'ya dahil olursunuz.
Kredi kartı bilgisi geçen uygulamalar dışarı çıkamaz, kredi kartı bilgisi ayrı bir networkte hashli bir şekilde tutulur. Buraya sadece kilit kişilerin erişim yetkisi vardır. Kredi kartı bilgileri kimse göremez.
Yani içerideki tüm uygulamalarını A-Z'ye tekrar ayar çekmek gerekir.
Eger PCI varsa kredi kartı bilgilerini, CVV hariç muhafaza edebilirsiniz. Tabi aylık batch işlemlerde cvv bilgisi gerekir. PCI da tutma der, salaklik. Bu da banka-kurum güven iliskisiyle aşılır.
Yakında bu standart kucuk işletmelere de geleceği konuşuluyor.
Soruna gelirsek; benim bugüne kadarki tecrübem, bu işlerin sözle yapılmayacağı ve cok kolay göte kaçabileceği yönünde.
Yani sözle is yapma. Bu seni korkutmasın. Yarın öbür gün sıkıntı çıksa sorumlu ve muhatap doğrudan şirketin yoneticileri. Bunu developer yaptı diye savunma yapamazlar.
Gene de kendini sağlama almak icin, yazılı olarak ısı detaylı geçmelerini iste.
Yapmak zorunda kalırsan asla müşteri onayı alınmadan bilgileri saklama. Sakladığın bilgiler hash'li, her önüne gelenin göremeyeceği şekilde güvenli olsun.
Kolay gelsin.
- widee (02.02.17 00:46:12)
@ocanal'in önerisi kucuk ölçekli firmalar icin mantıklı bu arada.
Aracı kurumlar sizin yerinize PCI-DSI gerekliliklerini yerine getirip tüm güvenliği sağlıyor. Herhangi bir sızmada sorumluluk onlarda olur.
Aracı kurumlar sizin yerinize PCI-DSI gerekliliklerini yerine getirip tüm güvenliği sağlıyor. Herhangi bir sızmada sorumluluk onlarda olur.
- widee (02.02.17 00:53:42)
bırakın kredi kartı bilgisini db'de saklamayı. aldığınız kredi kartı bilgisini pci uyumlu olmayan bir application servera bile göndermemeniz gerekir. direk client'tan pci kurumlarına kredi kartı bilgisi iletilip token ile işlem yapılır.
- nuisance (03.02.17 09:19:52 ~ 09:20:21)
1
