アカウント名:
パスワード:
氏名、住所、電話番号、カード番号、有効期限が流出って完全に致命傷なのに、ギリセーフっぽく錯覚させようとする努力がすごいな。
ガイドラインでセキュリティーコードは保存してはいけないと定められているので含まれないのは当然だよね。ガイドライン守らずにセキュリティコードを保存したうえ、漏洩したところもあったけどさ
そもそもマスクも暗号化もしないで番号保存してること自体が限りなくアウトに近いけどね。
しょっぼいECサイトの分際でカード番号を保存すること自体キチガイ沙汰だよね。やるならせめて識別用の下4桁だけとか、本当に必要な情報だけにしないと。
下4桁だけで、どうやって決済すんの?
保存自体はしなきゃいかんよね通常の手順で閲覧できるのが間違いだが、混同してるな
決済するときは消費者がカード番号入力するんだから、それを保存せずに決済代行会社のシステムに投げるだけじゃん消費者に何度もカード番号を入力させたくないなら、決済代行会社にカード番号を預けてそれを再利用するような仕組みを使えばいい自前でカード決済のサブシステム作る(真面目にやると億円ぐらい行く)にしても、フロントのアプリケーションサーバにカード番号を保存する必要もないし、カード番号を参照できる必要もないでしょ
JINSの時も書きましたが通常は都度入力であれば保存などせず、そのままリクエストに載せるだけです。注文履歴などで出したいだけならトランザクションデータにマスクした値を保存すればいいのです。入力を省いた再取引であっても通常は決済代行外出の持つデータベースと突合するための識別子を保存するだけです。これだけ流出が取り沙汰される現在においてフロントエンドでカード番号などの重要情報を保存するのは極めて異例です。…異例なのですが現実には本件のようにマスクも暗号かもなく保存しているサイトは少なからず存在します。名前は出せませんがそれなりに流行っている大手ECですらやっているとこもあります。その事実を知っているので私はネット決済ではよほど信用のおける(実装を知っている)システムでない限りカード決済は使用しません。
異例なサイトの名前は出しにくいだろうけど、信用のおけるシステムを利用してるサイトの名前は出してもらえるとうれしいな-
Amazonだな
そういう例が決して少なくないから、「セキュリティコードは含まれない」なんてことをわざわざ書かないとならない状況に陥っているわけで。
だからセキュリティコードが含まれないのは、現実問題として「当然」ではない。
JINSの例のように、サーバに保存していなくてもセキュリティコードが漏洩するケースもあるし。
カードに書いてある情報だけで買い物ができるノーガード戦法やめて3Dセキュア必須にして欲しいんだが。利便性が落ちるからって採用されないらしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
「セキュリティコードは含まれない」 (スコア:0)
氏名、住所、電話番号、カード番号、有効期限が流出って
完全に致命傷なのに、ギリセーフっぽく錯覚させようとする努力がすごいな。
Re: (スコア:0)
ガイドラインでセキュリティーコードは保存してはいけないと定められているので含まれないのは当然だよね。
ガイドライン守らずにセキュリティコードを保存したうえ、漏洩したところもあったけどさ
Re: (スコア:0)
そもそもマスクも暗号化もしないで番号保存してること自体が
限りなくアウトに近いけどね。
Re: (スコア:0)
しょっぼいECサイトの分際でカード番号を保存すること自体キチガイ沙汰だよね。
やるならせめて識別用の下4桁だけとか、本当に必要な情報だけにしないと。
Re: (スコア:0)
下4桁だけで、どうやって決済すんの?
Re: (スコア:0)
保存自体はしなきゃいかんよね
通常の手順で閲覧できるのが間違いだが、混同してるな
Re: (スコア:0)
決済するときは消費者がカード番号入力するんだから、それを保存せずに決済代行会社のシステムに投げるだけじゃん
消費者に何度もカード番号を入力させたくないなら、決済代行会社にカード番号を預けてそれを再利用するような仕組みを使えばいい
自前でカード決済のサブシステム作る(真面目にやると億円ぐらい行く)にしても、フロントのアプリケーションサーバにカード番号を保存する必要もないし、
カード番号を参照できる必要もないでしょ
Re: (スコア:0)
JINSの時も書きましたが
通常は都度入力であれば保存などせず、そのままリクエストに載せるだけです。
注文履歴などで出したいだけならトランザクションデータにマスクした値を保存すればいいのです。
入力を省いた再取引であっても通常は決済代行外出の持つデータベースと突合するための識別子を保存するだけです。
これだけ流出が取り沙汰される現在においてフロントエンドでカード番号などの重要情報を保存するのは
極めて異例です。
…異例なのですが現実には本件のようにマスクも暗号かもなく保存しているサイトは少なからず存在します。
名前は出せませんがそれなりに流行っている大手ECですらやっているとこもあります。
その事実を知っているので私はネット決済ではよほど信用のおける(実装を知っている)システムでない限りカード決済は使用しません。
Re: (スコア:0)
異例なサイトの名前は出しにくいだろうけど、信用のおけるシステムを利用してるサイトの名前は出してもらえるとうれしいな-
Re: (スコア:0)
Amazonだな
Re: (スコア:0)
そういう例が決して少なくないから、「セキュリティコードは含まれない」
なんてことをわざわざ書かないとならない状況に陥っているわけで。
だからセキュリティコードが含まれないのは、現実問題として「当然」ではない。
JINSの例のように、サーバに保存していなくてもセキュリティコードが
漏洩するケースもあるし。
Re: (スコア:0)
カードに書いてある情報だけで買い物ができるノーガード戦法やめて3Dセキュア必須にして欲しいんだが。
利便性が落ちるからって採用されないらしい。