Mam zamiar odziedziczyć i pracować na małej internetowej stronie handlowej, która jest bardzo źle zaprojektowana. Jednym z największych problemów jest obecnie przetwarzanie kart kredytowych.Online Credit Card Storage?
Obecnie właściciel pobiera informacje o karcie kredytowej (imię i nazwisko, numer, CVV2 i datę ważności) z formularza zamówienia online i zapisuje wszystkie te informacje w postaci zwykłego tekstu w bazie danych MySQL. Powiadomienie zostanie wysłane na jego adres e-mail, który ktoś zamówił. Następnie ma stronę administracyjną, na której przegląda zamówienia i informacje o karcie kredytowej, których używa do przetwarzania w trybie offline z własnym sprzedawcą.
Po pobraniu informacji z wewnętrznej strony, numer karty kredytowej i CVV2 jest natychmiast usuwany (automatycznie wywoływany skrypt PHP). Informacje są również usuwane, jeśli strona nie jest dostępna w ciągu 7 dni. Zatem istnieje możliwość, aby wszystkie informacje znajdowały się w bazie danych w postaci zwykłego tekstu przez siedem dni przed przetworzeniem transakcji.
To nie wygląda na dobry projekt i może być nielegalne. Jeśli jest to nielegalne, będę musiał mu to przerwać, ponieważ jeszcze tego nie rozumie.
Moje pytanie: czy nie jest to niebezpieczne, czy jest to niezgodne z prawem lub naruszeniem warunków użytkowania (PCI DSS)? A jeśli tak, jak mogę mu to udowodnić, aby pozwolił mi zmienić swoje postępowanie (oczywiście, nie chcę wkładać rąk w coś, co jest nielegalne.) Czasami sformułowanie warunków użytkowania może wydaje się subiektywny)? Na koniec, jakie są najlepsze opcje rozwiązania tego problemu (zewnętrzny sprzedawca online, spełniający wymogi PCI DSS lub coś innego)?
W jakim kraju się znajdujesz? –
Jestem w USA. –
Głosuję, aby zamknąć to pytanie jako nietypowe, ponieważ jest to kwestia prawna, a nie kwestia programowania. – durron597