Skocz do zawartości

Melon77

Użytkownicy
  • Zawartość

    2
  • Rejestracja

  • Ostatnio

Wszystko napisane przez Melon77

  1. Witam, Chciałbym się dowiedzieć, jakie warunki musi spełniać serwer oraz administrator, aby można legalnie przechowywać numery kart kredytowych. Czytałem o wysokich wymaganiach, jakie istnieją na zachodzie, natomiast nie byłem w stanie znaleźć żadnych konkretnych informacji odnośnie polskiego prawa. W skrócie chodzi mi o taki scenariusz, zakładając że ja jestem wykonawcą serwisu: - klienci podają nr karty kredytowej w serwisie (oczywiście SSL) razem z datą ważności i kodem CVC - nikt z naszego serwisu nie będzie obciążał tych kart, jedynie ich numery będziemy udostępniać firmom (np. hotelom), które będą używać kart jako zabezpieczenia rezerwacji i potem ew. pobrać płatność, więc generalnie pomysł jest taki, żeby dane karty były przechowywane w naszej bazie przez kilka dni, po to, aby upoważniona firma miała do nich dostęp za pomocą loginu i hasła (przez SSL) Czyli generalnie chodzi o system przekazania numeru karty podmiotowi trzeciemu, który w tradycyjny sposób zbiera je np. za pomocą faksu lub telefonu. Ponieważ numery te byłyby przechowywane w naszej bazie, to domyślam się, że muszą być spełnione pewne wymogi dotyczące serwera i sposobu administrowania. Interesują mnie takie rzeczy: - jakie są wymagania, które musi spełniać podmiot przechowujący numery kart kredytowych wg polskiego prawa lub/i gdzie można uzyskać takie informacje, do kogo się zgłosić? - czy można takie dane przechowywać na hostingu współdzielonym, czy trzeba pomyśleć nad serwerem dedykowanym lub własnym? - ile mniej więcej coś takiego może kosztować? Pozwolenia, zabezpieczenia techniczne, itp. - czy są może jakieś zewnętrzne serwisy, z których usług mogę skorzystać, żeby uniknąć przechowywania numerów kart u siebie? Np. coś w rodzaju platnosci.pl, z tym że tu sytuacja jest inna, bo ja nie chcę pobierać płatności, chcę jedynie przechowywać chwilowo numery kart do wglądu dla innych firm. Mam nadzięję, że ktoś będzie w stanie naprowadzić mnie bliżej na temat
  2. Numery kart kredytowych w bazie

    Dzięki za odpowiedzi. Właśnie cała idea polega na tym, że nie my mamy autoryzować karty ani ich obciążać - naszym zadaniem ma być tylko zebranie wszelkich informacji od klienta - łącznie z numerem karty - i przekazanie ich firmie, która z nami współpracuje. Wiadomo, że powstaje wtedy problem, kto jest odpowiedzialny za ewentualne nadużycia w razie problemów - czy my, którzy przechowujemy i przekazujemy numery kart, czy firma docelowa, która dostaje te numery i pobiera opłaty. Tego typu systemy może nie są popularne ale już istnieją - chociażby http://www.booking.com/ - tam rezerwując hotel podajesz swoje dane karty kredytowej, jednak nie ma żadnej autoryzacji online (choć piszą że czasem mogą pre-autoryzować), możesz nawet podać fikcyjne numery i system je zaakceptuje. Te numery są potem przekazywane konkretnemu hotelowi, który obciąża kartę. W jaki sposób następuje to przekazanie, tego nie wiem, ale raczej na pewno musi to być drogą szyfrowaną. W ochronie prywatności mają zapis "Dane Państwa karty kredytowej są przez nas przechowywane nie dłużej niż 10 dni od dokonania rezerwacji. Po tym czasie dane Państwa karty kredytowej zostaną usunięte z naszego systemu." Chodzi mi właśnie o tego typu system przechowywania kart na swoim serwerze - jakie są prawne wymagania wobec takiej witryny? Jeśli trzeba przejść jakiś audyt, zdobyć certyfikat, itp. to do jakiej instytucji trzeba się zgłosić?
×