Přenos důvěrných informací

AdiOverRide:
Pokud se nemylim, tak je nezakonne shromazdovat informace o platebnich kartach. Nesmis to nikam ulozit, jen vyuzit pro jedinou transakci.
Osobne bych nemel duveru v nejaky formular. Dost neochotne zadavam informace o karte i platebni brane, kterou znam.

juriad:
tak v tom případě podej trestňák na damejidlo.cz kteří platební karty ukládají ;) teda pokud chceš

aDAm:
Zjisti si podrobnosti; damejidlo.cz informace o platebních kartách neukládá. Ukládá je třetí strana (platební procesor nebo jak se tomu říká), viz www.damejidlo.cz/stranka/opakovana-platba.

juriad:
Nějaký zákon zakazuje shromažďovat informace o platebních kartách? Jaký?
Byť pokud web místo přesměrování na důvěryhodnou platební bránu chce zadat údaje o kartě přímo, nelze nikomu doporučit je zadávat.
S technologiemi jako 3DSecure je to už lepší, ale zabezpečení platební karty jen znalostí čtyř čísel, která všechna byla napsaná na té kartě, bylo/je dost šílené.

AdiOverRide:
Technologie (databáze/soubor) asi není tak zásadní, otázka spíš je, jak zabezpečit šifrovací klíč.

Jinak připomínám, že osobní informace a informace o platební kartě budou osobní údaje, takže:
• Potřebujete souhlas se zpracováním osobních údajů,
• musíte informovat subjekt údajů jaké údaje, za jakým účelem, kdo a jak bude zpracovávat,
• umožnit subjektu údajů přístup k informacím,
• máte povinnost přijmout opatření, aby nedocházelo k neoprávněným nebo nahodilým přístupům k osobním údajům (a zdokumentovat jaká opatření byla přijata),
• správce osobních údajů má oznamovací povinnost vůči ÚOOÚ,
• máte povinnost osobní údaje zlikvidovat jakmile pomine účel jejich zpracování
• a další.

AdiOverRide:
Dohledal jsem relevantní místní vlákno Uchování platebních údajů v db

Jan Tvrdík:
ale jo mě to je jasný že to je "vymoženost" brány proto ten smajl. A silně pochybuju že by ten hotel integroval vlastní bránu, teda pokud tím uložením karty není namysli jen čisté uložení, žádná platba, to bych tedy asi v hotelu pokoj neobjednal, leda se smyšlenou kartou ;) ale to by zase pro hotel ztratilo důvod proč to ukládat

tak aby mohli zablokovat prachy tak by museli udelat nejakou transakci ne?

V hotelech je, řekl bych, poměrně běžné garantovat rezervaci pomocí platební karty.
V případě, že pobyt vystornuju a hotel má nárok na nějaký stornopoplatek, jak ho ze mě jinak dostane (pominu-li možnost zaplacení zálohy předem).

abc:
Někde se to tak dělalo/dělá, ale pro mě to je asi na úrovni „platby kartou“, kdy bych prodavači dal kartu a PIN a on by došel daný obnos vybrat z bankomatu.

Mimochodem, u mých karet (a asi to platí obecně) je podle podmínek užívání karta nepřenosná, nikdo kromě držitele nesmí zadávat transakce a držitel nesmí mimo konkrétní transakci sdělovat údaje z karty třetím osobám. V případě porušení nemá klient nárok na žádnou náhradu při zneužití karty.

Tady si programátor ještě může říct, že když to uživatel chce, je jeho problém, k čemu ten systém používá, nicméně při zpracování osobních údajů zákon nařizuje určité zabezpečení, takže může pak být popotahován i ten programátor. Ono je všechno v pohodě dokud se nic nestane, ale když se něco stane, hledá se viník.

„V případě, že pobyt vystornuju a hotel má nárok na nějaký stornopoplatek, jak ho ze mě jinak dostane“
A s údaji z karty ho ze mě dostane (kdybych ho nechtěl zaplatit dobrovolně) jak?
U mých karet je nutné online platby autorizovat potvrzovací SMS a i kdyby nebylo, můžu prostě zablokovat online platby jako celek.

Joker:
U mých karet je nutné online platby autorizovat potvrzovací SMS a i kdyby nebylo, můžu prostě zablokovat online platby jako celek.
Autorizovat pomocí SMS můžeš jen díky tomu že brána využívá 3dsecure. Stačí jít na bránu kde 3dsecure není a transakce se provede i bez sms. A ano při blokaci online plateb se nic neprovede a karta bude zamítnuta.

AdiOverRide [#14]:
Asi tak, my používáme www.paysec.cz, ale jsou i konkurenční služby. Naše aplikace vygeneruje objednávku a určí velikost zálohy, která se má zaplatit. Spolu s identifikátorem platby se pak přesměruje na jejich platební bránu. Pak už jen zpětně získáte informaci (po přesměrování, nebo cronem, když uživatel zaplati, ale opustí stránku před přesměrováním zpět), jestli byla platba provedene a dál si zpracováváte rezervace.