Guardar tarjetas de crédito de forma segura

Harris · #1 (**permalink**) 26/11/2008, 05:46

Buenos días, tengo que hacer una aplicación php+mysql en la cual voy a guardar los números de cuenta y tarjetas de crédito de los usuarios.

Para asegurarme que cuando el usuario se da de alta no me roban los datos voy a poner un certificado ssl. Me han dicho que esto es seguro al 100%.

Una vez almacenados en la base de datos mysql me han dicho que la información está encriptada y que no se puede piratear.

Por ello solo me pueden robar los datos por un agujero en mi programación, es así o necesito hacer algo más???

Para asegurar la programación debo:
- comprobar en cada página que el usuario de la session es correcto.
- comprobar que un usuario no intenta loggearse en la web por fuerza bruta
- ¿Qué más????

Muchas gracias

GatorV · #2 (**permalink**) 26/11/2008, 09:53

Hola Harris,

Te recomendaria NO guardar los números de la tarjeta, si te llegan a borrar o a robar la base de datos tendrías muchos MUCHOS problemas, lo mejor es solo guardar los últimos 4 digitos si realmente te interesa, y también guardar el tipo de tarjeta es lo más común.

Saludos.

danielrivas · #3 (**permalink**) 26/11/2008, 10:06

Muy peligroso guardar los números completos en la base de datos...si alguien logra acceder a tu base de datos, ahi no sirve el ssl...

nicolaspar · #4 (**permalink**) 26/11/2008, 11:15

Además ese acto está prohibido y no sé si hasta penado...

danielrivas · #5 (**permalink**) 26/11/2008, 11:29

Mmmm yo tengo más dudas de eso...si una empresa te carga en tu tarjeta tanto dinero al mes o al año, ¿Cómo guarda esos datos? No se, puede que dependa de cada país...

GatorV · #6 (**permalink**) 26/11/2008, 11:49

Mmmm, bueno si en ese caso si necesitas guardar el numero de tarjeta, pero es muy peligroso, y te expones mucho, en ese caso creo sí deberia de manejar todo encryptado con una buena clave, y asegurarse que su host sea muy bueno para que no obtengan esos datos.

erlingfiallos · #7 (**permalink**) 26/11/2008, 11:51

Nunca hay fiabilidad en cuanto a lo que se tiene almacenado en una BD y tampoco un certificado de seguridad te asegura de que la información no pueda ser robada.. Lo mejor sería no quedarse con ese tipo de información que es tan sensible e importante.. Si en realidad necesitar quedarte con los numeros de una tarjeta.. mejor asi como dice GatorV los ultimos 4 digitos.. y es todo..

nicolaspar · #8 (**permalink**) 26/11/2008, 12:14

danielrivas, para esa tarea hay empresas con una plataforma aprobada por las mismas entidades crediticias bajo normas de seguridad especiales. Es lo mismo que hacer un pago con la tarjeta, eso no lo hace uno (o no debería sin tener un sistema especial) sino que lo terceriza a empresas que se dedican a ello.

De todas maneras vale aclarar algo y es que uno como cliente puede objetar un débito de una tarjeta de crédito, es más, la mayoría de las tarjetas si tenes muchos movimientos seguidos o grandes te llaman para confirmar que seas vos quién lo está realizando.

Harris · #9 (**permalink**) 27/11/2008, 05:11

Buenos pues visto lo visto os voy a hacer caso, y voy a sacar fuera esta parte del proyecto y que me lo gestione una empresa que se dedique a ello.

He estado buscando por Internet, y no encuentro ninguna, sabéis de alguna o cómo buscarla.

Muchichisimas gracias.

nicolaspar · #10 (**permalink**) 27/11/2008, 06:33

De que país sos? consultá por ejemplo si la gente de 2checkout.com tiene este servicio, o si te pueden recomendar a alguna empresa que si lo tenga.