Autor Zpráva
AdiOverRide
Profil
Zdravíčko pánové a (snad) dámy :),
řeším webové stránky jednoho hotelu, který má rezervační formulář následovně:
- uživatelé zadají datum
- vyberou hotelový pokoj
- vyplní osobní informace
- vyplní informace o platební kartě

Osobně se mi takový přístup nelíbí, ale požadují to, mají koupený zřejmě nějaký certifikát a pro kontaktní formulář používají "samozřejmě" HTTPS.
Jak by jste takový přenos zařídili?

Napadli mě možnosti jako:
- Uložit to šifrovaně do db, kde pak ukládat šifru, aby to bylo nejbezpečnější?
- Posílat to emailem (to chtějí současně), dle mě nevhodné řešení
- Ukládat do souboru (stejně jako db ale do souboru)

Díky,
A.
juriad_
Profil *
AdiOverRide:
Pokud se nemylim, tak je nezakonne shromazdovat informace o platebnich kartach. Nesmis to nikam ulozit, jen vyuzit pro jedinou transakci.
Osobne bych nemel duveru v nejaky formular. Dost neochotne zadavam informace o karte i platebni brane, kterou znam.
aDAm
Profil
juriad:
tak v tom případě podej trestňák na damejidlo.cz kteří platební karty ukládají ;) teda pokud chceš
Jan Tvrdík
Profil
aDAm:
Zjisti si podrobnosti; damejidlo.cz informace o platebních kartách neukládá. Ukládá je třetí strana (platební procesor nebo jak se tomu říká), viz www.damejidlo.cz/stranka/opakovana-platba.
Joker
Profil
juriad:
Nějaký zákon zakazuje shromažďovat informace o platebních kartách? Jaký?
Byť pokud web místo přesměrování na důvěryhodnou platební bránu chce zadat údaje o kartě přímo, nelze nikomu doporučit je zadávat.
S technologiemi jako 3DSecure je to už lepší, ale zabezpečení platební karty jen znalostí čtyř čísel, která všechna byla napsaná na té kartě, bylo/je dost šílené.

AdiOverRide:
Technologie (databáze/soubor) asi není tak zásadní, otázka spíš je, jak zabezpečit šifrovací klíč.

Jinak připomínám, že osobní informace a informace o platební kartě budou osobní údaje, takže:
• Potřebujete souhlas se zpracováním osobních údajů,
• musíte informovat subjekt údajů jaké údaje, za jakým účelem, kdo a jak bude zpracovávat,
• umožnit subjektu údajů přístup k informacím,
• máte povinnost přijmout opatření, aby nedocházelo k neoprávněným nebo nahodilým přístupům k osobním údajům (a zdokumentovat jaká opatření byla přijata),
• správce osobních údajů má oznamovací povinnost vůči ÚOOÚ,
• máte povinnost osobní údaje zlikvidovat jakmile pomine účel jejich zpracování
• a další.
Jan Tvrdík
Profil
AdiOverRide:
Dohledal jsem relevantní místní vlákno Uchování platebních údajů v db
AdiOverRide
Profil
"Joker" a "Jan Tvrdík" DÍKY :) Osobně s myslím že je nejlepší to neřešit a prdnout tam payPal nebo něco podobného :)

Díky,
A.
aDAm
Profil
Jan Tvrdík:
ale jo mě to je jasný že to je "vymoženost" brány proto ten smajl. A silně pochybuju že by ten hotel integroval vlastní bránu, teda pokud tím uložením karty není namysli jen čisté uložení, žádná platba, to bych tedy asi v hotelu pokoj neobjednal, leda se smyšlenou kartou ;) ale to by zase pro hotel ztratilo důvod proč to ukládat
AdiOverRide
Profil
Kdepak oni si prý nějak blokují peníze pro pobyt či co, každopádně mě to příjde strašně komplikované a nedůvěryhodné řešení. A naprosto souhlasím já vidět takový formulář tak si najdu konkurenční hotel.
aDAm
Profil
tak aby mohli zablokovat prachy tak by museli udelat nejakou transakci ne?
abc
Profil
V hotelech je, řekl bych, poměrně běžné garantovat rezervaci pomocí platební karty.
V případě, že pobyt vystornuju a hotel má nárok na nějaký stornopoplatek, jak ho ze mě jinak dostane (pominu-li možnost zaplacení zálohy předem).
Joker
Profil
abc:
Někde se to tak dělalo/dělá, ale pro mě to je asi na úrovni „platby kartou“, kdy bych prodavači dal kartu a PIN a on by došel daný obnos vybrat z bankomatu.

Mimochodem, u mých karet (a asi to platí obecně) je podle podmínek užívání karta nepřenosná, nikdo kromě držitele nesmí zadávat transakce a držitel nesmí mimo konkrétní transakci sdělovat údaje z karty třetím osobám. V případě porušení nemá klient nárok na žádnou náhradu při zneužití karty.

Tady si programátor ještě může říct, že když to uživatel chce, je jeho problém, k čemu ten systém používá, nicméně při zpracování osobních údajů zákon nařizuje určité zabezpečení, takže může pak být popotahován i ten programátor. Ono je všechno v pohodě dokud se nic nestane, ale když se něco stane, hledá se viník.

V případě, že pobyt vystornuju a hotel má nárok na nějaký stornopoplatek, jak ho ze mě jinak dostane
A s údaji z karty ho ze mě dostane (kdybych ho nechtěl zaplatit dobrovolně) jak?
U mých karet je nutné online platby autorizovat potvrzovací SMS a i kdyby nebylo, můžu prostě zablokovat online platby jako celek.
aDAm
Profil
Joker:
U mých karet je nutné online platby autorizovat potvrzovací SMS a i kdyby nebylo, můžu prostě zablokovat online platby jako celek.
Autorizovat pomocí SMS můžeš jen díky tomu že brána využívá 3dsecure. Stačí jít na bránu kde 3dsecure není a transakce se provede i bez sms. A ano při blokaci online plateb se nic neprovede a karta bude zamítnuta.
AdiOverRide
Profil
Díky za veškeré informace, vycházím v to že pokud chce člověk ušetřit čas i nervy a předat zodpovědnost na někoho jiného je lepší tam implementovat platební bránu.

Díky,
A.
Alphard
Profil
AdiOverRide [#14]:
Asi tak, my používáme www.paysec.cz, ale jsou i konkurenční služby. Naše aplikace vygeneruje objednávku a určí velikost zálohy, která se má zaplatit. Spolu s identifikátorem platby se pak přesměruje na jejich platební bránu. Pak už jen zpětně získáte informaci (po přesměrování, nebo cronem, když uživatel zaplati, ale opustí stránku před přesměrováním zpět), jestli byla platba provedene a dál si zpracováváte rezervace.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: