Security 内部信用卡处理的安全证书有多重要?
在我工作的地方,我们在内联网上有一个电子商务系统,用来处理客户的信用卡。目前,当我们使用Authorize.net向客户的信用卡收费时,我们不会通过安全连接将信用卡信息发送到Authorize.net。相反,它通过常规的http。我想听听关于这有多严重/疏忽的其他意见。谢谢Security 内部信用卡处理的安全证书有多重要?,security,https,Security,Https,在我工作的地方,我们在内联网上有一个电子商务系统,用来处理客户的信用卡。目前,当我们使用Authorize.net向客户的信用卡收费时,我们不会通过安全连接将信用卡信息发送到Authorize.net。相反,它通过常规的http。我想听听关于这有多严重/疏忽的其他意见。谢谢 编辑:看起来我错了。我在代码中四处窥探,它看起来正在处理信用卡。但是,输入信用卡的网页不安全。这与我最初描述的情况不同。很抱歉 这似乎很疏忽。信用卡信息泄露太多,不允许这种行为 即使处理是在您的intranet内部进行的,并
编辑:看起来我错了。我在代码中四处窥探,它看起来正在处理信用卡。但是,输入信用卡的网页不安全。这与我最初描述的情况不同。很抱歉 这似乎很疏忽。信用卡信息泄露太多,不允许这种行为
即使处理是在您的intranet内部进行的,并且没有发送给第三方,我建议使用安全连接。您不希望任何人都可以访问此文件,即使是内部的、未经授权的员工。这似乎非常疏忽。信用卡信息泄露太多,不允许这种行为
即使处理是在您的intranet内部进行的,并且没有发送给第三方,我建议使用安全连接。你不想让任何人都能访问它,即使是内部的、未经授权的员工。这绝对是一场灾难。您应该立即(我的意思是立即)至少使用传输级安全性(SSL/TLS),如果Authorize.net可以为其设置,还应该使用消息级安全性。这绝对是一场灾难。您应该立即(我的意思是立即)至少使用传输级安全性(SSL/TLS),如果Authorize.net可以为其设置,还应该使用消息级安全性。我很困惑。如何向Authorize.net发送普通HTTP请求?他们的事务端点没有HTTP版本——如果他们允许这样做,那将是刑事过失
现在您已经编辑了,事情就更清楚了。是的,将intranet页面改为HTTP而不是HTTPS仍然存在安全风险,但远低于您最初提出的问题(未加密的公共互联网传输)
由于它是内部的,您不需要付费SSL证书(如果成本是避免HTTPS的原因-我想不出任何其他好的原因)-您应该能够使用自签名证书。我很困惑。如何向Authorize.net发送普通HTTP请求?他们的事务端点没有HTTP版本——如果他们允许这样做,那将是刑事过失
现在您已经编辑了,事情就更清楚了。是的,将intranet页面改为HTTP而不是HTTPS仍然存在安全风险,但远低于您最初提出的问题(未加密的公共互联网传输)
由于它是内部的,您不需要付费SSL证书(如果成本是避免HTTPS的原因-我想不出任何其他好的原因)-您应该能够使用自签名证书。这非常重要,您所做的可能会导致一些严重的问题
而且它违反PCI标准,每个处理信用卡信息的公司都必须遵守PCI标准,因此这样做可能会遇到一些法律问题。这非常重要,你所做的可能会导致一些严重问题
此外,这违反了PCI标准,每个处理信用卡信息的公司都必须遵守PCI标准,因此这样做可能会遇到一些法律问题。我建议您阅读OWASP指南: (免费下载) 第53页及以后。。我得到了一些很好的信息
我想说的是,你所做的是严重的疏忽,需要尽快分类。我建议你阅读OWASP指南: (免费下载) 第53页及以后。。我得到了一些很好的信息
我想说,你所做的是严重的疏忽,需要尽快整理。好问题。我不在我描述的这个电子商务系统上工作。我只知道没有与此网站关联的安全证书。你是对的。请查看我对原始帖子的编辑。谢谢,问得好。我不在我描述的这个电子商务系统上工作。我只知道没有与此网站关联的安全证书。你是对的。请查看我对原始帖子的编辑。非常感谢。