アカウント名:
パスワード:
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうがやらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
> そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。まさにその通りで、毎回入力が必要ないサービスでも通常はバックエンドで決済代行会社に丸投げしています。「個人情報が流出したけどクレジットカード番号は含まれていない」というのはそういうパターンです。ベクターが頭おかしいとしか言いようがない。>> 個人情報を蓄積していたサーバのシステムを改修し、当該サーバに個人情報が蓄積されないよう変更しました。1日でこんな変更が簡単にできるんだから、そもそも必要もないのに何らかのミスで蓄積されていたのではないですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re: (スコア:0)
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうが
やらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで
延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:0)
> そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
まさにその通りで、毎回入力が必要ないサービスでも通常はバックエンドで決済代行会社に丸投げしています。「個人情報が流出したけどクレジットカード番号は含まれていない」というのはそういうパターンです。ベクターが頭おかしいとしか言いようがない。
>> 個人情報を蓄積していたサーバのシステムを改修し、当該サーバに個人情報が蓄積されないよう変更しました。
1日でこんな変更が簡単にできるんだから、そもそも必要もないのに何らかのミスで蓄積されていたのではないですかね。