アカウント名:
パスワード:
クレジットカードの情報を保管しちゃうんだろ。
課金部門の人に聞いたところ、返金処理に必要になるらしいです(さすがに全部保存するとまずいのでマスクしてますが)
> 課金部門の人に聞いたところ、返金処理に必要になるらしいです
なくてもよい。
昔私が書いたの貼り付けておく
http://security.srad.jp/comments.pl?sid=609876&cid=2448213 [security.srad.jp]
いまは、クレジットカード番号は、クレジットカード会社のサーバーに送信し、そのクレジット顧客IDとクレジットトラッキングナンバーだけ自サーバーに保有しています。で、継続課金はそのクレジット顧客IDとクレジットトラッキングナンバーを使うわけです。そのクレジット顧客IDとクレジットトラッキングナンバーが漏れても他所で再利用はできないようになっています。
ECサイト構築屋さんですが、まぁ色々理由はあるけれど管理側での代行注文とか注文修正とかで保持しておきたいって要望はありますね。我々が提案、構築する分には基本は決済代行任せにするとか、保持するにしてもDB丸ごと暗号化とかでガチガチにしますけど規模の大小に関わらず内製のとこはそういう意識が希薄ですね。作るのも運用するのも内部で閉じてるとコストや利便性の優先度が上がってしまう(トップダウンの命令に逆らえない)とか色々あるんでしょう。
クレジットカード情報を保存する設定にしないとポイントが使えないサイトとかもあるししかも一回登録すると削除できないとかなんなんだろうなあ。
> クレジットカード情報を保存する設定にしないとポイントが使えないサイトとかもあるし
それはそれでいいんだけど、クレジットカード情報をサーバーに保管する必要はないです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
なんで (スコア:2)
クレジットカードの情報を保管しちゃうんだろ。
Re:なんで (スコア:1)
課金部門の人に聞いたところ、返金処理に必要になるらしいです
(さすがに全部保存するとまずいのでマスクしてますが)
Re:なんで (スコア:2, 参考になる)
> 課金部門の人に聞いたところ、返金処理に必要になるらしいです
なくてもよい。
昔私が書いたの貼り付けておく
http://security.srad.jp/comments.pl?sid=609876&cid=2448213 [security.srad.jp]
いまは、クレジットカード番号は、クレジットカード会社のサーバーに送信し、
そのクレジット顧客IDとクレジットトラッキングナンバーだけ自サーバーに保有しています。
で、継続課金はそのクレジット顧客IDとクレジットトラッキングナンバーを使うわけです。
そのクレジット顧客IDとクレジットトラッキングナンバーが漏れても他所で再利用はできないようになっています。
Re: (スコア:0)
ECサイト構築屋さんですが、
まぁ色々理由はあるけれど管理側での代行注文とか注文修正とかで
保持しておきたいって要望はありますね。
我々が提案、構築する分には
基本は決済代行任せにするとか、保持するにしてもDB丸ごと暗号化とかでガチガチにしますけど
規模の大小に関わらず内製のとこはそういう意識が希薄ですね。
作るのも運用するのも内部で閉じてると
コストや利便性の優先度が上がってしまう(トップダウンの命令に逆らえない)とか
色々あるんでしょう。
Re: (スコア:0)
クレジットカード情報を保存する設定にしないとポイントが使えないサイトとかもあるし
しかも一回登録すると削除できないとか
なんなんだろうなあ。
Re:なんで (スコア:3)
> クレジットカード情報を保存する設定にしないとポイントが使えないサイトとかもあるし
それはそれでいいんだけど、
クレジットカード情報をサーバーに保管する必要はないです。