Aller au contenu

Transmettre correctement des données /TPE physique

Noisequik

Par Noisequik
dans E-commerce

 Partager

Sujets conseillés

Noisequik

Noisequik

Posté
Posté (modifié)

Bonjour,

je m'occupe actuellement de refaire un site commerce qui tournait sous OScommerce...

Les marchands disposent d'un TPE physique sur lequel ils entrent les informations qui leur sont transmises. Par contre il me semble qu'il n'y a aucune sécurité dans l'envoi des données car je ne vois pas de cadenas ou de barre d'adresse en jaune.

Maintenant j'ai fait mon propre site boutique en PHP/MySQL mais je me demande comment faire pour envoyer et stocker les données des cartes bancaires...

Que se passe-t-il si je n'utilise pas SSL?

Quelles sont les points importants a respecter pour que personne ne puisse aller voir les informations dans la partie admin ou lors de la transaction. ?

Est-ce que osCommerce proposait déjà une bonne sécurité ?

(le but étant d'avoir une sécurité au moins égale à l'ancien site, mais pas moins bien pour ne pas avoir de problème avec le marchand et les clients !!!)

Modifié par Noisequik
Lien vers le commentaire
Partager sur d’autres sites
Dan

Dan

Posté
Posté

Bonjour et bienvenue à bord du Hub !

La logique voudrait que ce ne soit pas ton site qui traite les cartes bancaires mais bien le site de la banque.

Il suffit pour ton client de signer un contrat de VAD avec sa Banque, et de mettre en place les scripts livrés.

Dans ce cas, tu n'as pas à utiliser SSL, vu que les numéros de carte ne transitent jamais par ton site.

Dan

Lien vers le commentaire
Partager sur d’autres sites
Noisequik

Noisequik

Posté
  • Auteur
Posté

Merci, mais comme ils ont deja un système de vérification physique dans leurs bureaux, ils ont juste besoin du détail de la carte de crédit... Ils ne comptent pas changer de système

Je pense donc qu'il faut utiliser une liaison SSL pour le formulaire où l'acheteur entre ses coordonnées et, quant à la partie admin, je pensais la protéger avec htaccess mais je ne sais pas si c'est suffisant.

Mes préoccupations sont donc, avant tout,que personne ne puisse lire le numéro de la carte de crédit pendant la transaction, ni lire le contenu de la base de donnée MySQl...

Lien vers le commentaire
Partager sur d’autres sites
bshop

bshop

Posté
Posté

Oula je vois utilisation de TPE physique , je déconseille fortement....

Bon sinon si tu n'as pas le choix stocke tout cela sur un espace web différent du site e-commerce lui meme(sécu), transfert en HTTPS avec certificat SSL (type thawte) mais de nos jours on utilise un TPE virtuel et comme le dit DAN c'est la banque qui sécurise.... très old school comme démarche je traite ca actuellement pour un client...

espérant t'avoir éclairé ...

a+

Lien vers le commentaire
Partager sur d’autres sites
Noisequik

Noisequik

Posté
  • Auteur
Posté

Oui je vais essayer d'en parler au client, mais je doute qu'il change d'avis car le système a déjà du lui couter pas mal d'argent...

Sinon le site sera hébergé normalement chez Nexlink, hébergement mutualisé Standard

http://www.nexlink.net/fr/hebergement-mutu...andard-plus.php

avec option SSL a 120

Mais maintenant je ne sais pas quels sont les risques d'un tel hébergement surtout si tu me dis qu'il en faudrait 2 différents...

Lien vers le commentaire
Partager sur d’autres sites
bshop

bshop

Posté
Posté

ben deja si l'hebergement esten mutualisé j'espere que l'admin mettra régulierement a jour l'OS du serveur parce que le moindre trou de sécu d'un site perso et c'est la cata pour ton client.... bon ca arrive pas tous les jours mais quand ca arrive ca fait mal, sueurs froides assurées ;)

Lien vers le commentaire
Partager sur d’autres sites
Dan

Dan

Posté
Posté
avec option SSL a 120€

C'est pas loin du tarif pour un TPE virtuel... et c'est indispensable.

Perso, je ne laisserais jamais mon numéro de carte sur un serveur non SSL.

Dan

Lien vers le commentaire
Partager sur d’autres sites
Noisequik

Noisequik

Posté
  • Auteur
Posté (modifié)

Ok je m'y perds un peu à vrai dire...

- SI je prends l'option Liaison SSL 128bits avec certificat

est-ce que le serveur sera SSL ou non ?

- Que penser de la sécurité d'un site osCommerce qui se contente de placer les données de la carte dans la base de donnée ? (je ne connais pas assez ce système pour savoir ce qu'il vaut à ce niveau là...)

- une transimission par mail sécurisé serait-elle possible ?? (ne rigolez pas, je crois que c'est ce qui est en place sur l'ancien site :angry:

Modifié par Noisequik
Lien vers le commentaire
Partager sur d’autres sites
dièse

dièse

Posté
Posté

Je crois en plus (même si celà est beaucoup pratiqué) qu'il est interdit de conserver les numéros de cartes bancaires ;)

Lien vers le commentaire
Partager sur d’autres sites
bshop

bshop

Posté
Posté
Oui effectivement je verrai bien au moins un sytème qui efface du serveur le numéro de carte après validation de la transaction  :)

<{POST_SNAPBACK}>

Ahhh ca c obligatoire, l'archivage des infos de paiement client est interdit au dela du cadre du traitement de la transaction ;)

Lien vers le commentaire
Partager sur d’autres sites
sully

sully

Posté
Posté

Je suis d'accord avec Dan. Faire gérer le paiement en ligne par la banque c'est beaucoup plus sérieux et sécurisé.

C'est pas forcément donné, mais vu qu'un site fait avec oscommerce c'est pour le commerce...

ou alors il y a l'option de ne pas faire payer par CB, mais par chèque, contre-remboursement.

Tu peux voir les tarifs des solutions e-commerce compatible avec oscommerce ici

J'ai installé la solution cybermut et franchement ce n'est pas trop compliqué et beaucoup plus sûr que de développer soi-même le paiement en ligne.

Il ne faut pas oublier qu'avoir un mauvais programme peut entraîner des conséquences importantes: les cartes banquaires ce n'est pas sans risque.

Lien vers le commentaire
Partager sur d’autres sites
Noisequik

Noisequik

Posté
  • Auteur
Posté

Malheureusement les clients ne semblent pas vouloir abandonner leur système actuel de TPE Physique...

Il faudra que j'essaie de les convaincre dans un 2eme temps.

Pour rappel, le site ne tournera pas sous osCommerce justement, c'était l'ancien site qui utilisait ce système.

Donc, comment faire au mieux pour protéger mes données ?

htaccess offre une bone sécurité pour la partie administrative ?

Existe-t-il un système de mail sécurisé ?

Lien vers le commentaire
Partager sur d’autres sites
Dan

Dan

Posté
Posté
l'envoi d'un formulaire par mail, mais qui soit cripté par exemple, comme avec SSL, pour éviter qu'une personne mal attentionnée ne l'intercepte...

Là c'est carrément prendre un marteau-piqueur pour casser une noix.

Un bon système de mail véritablement sécurisé te coûtera sensiblement plus cher qu'un TPE virtuel, tout en ne t'offrant pas du tout le même confort d'utilisation.

Il faut aussi penser qu'une fois le mail reçu sur le poste de travail, il est interdit de garder les infos de carte hors du cadre de la transaction de paiement.

Et tu ne pourras pas t'assurer que cette obligation sera remplie. :(

Lien vers le commentaire
Partager sur d’autres sites
Magicoyo

Magicoyo

Posté
Posté

S'ils ont déjà un TPE physique avec leur bancque, ils ont aussi dajà un contrat de VAD. Cela ne devrait pas leur couter cher de demander en plus un TPE virtuel.

Ils ne sont pas obligé pour autant de renoncer à posserder un TPE physique, mais les transactions en ligne seront procédées directement par la banque.

Ca devrait pas leur coûter plus cher que les solutions détournées que tu cherches. En plus, leurs clients auront plus confiance et ils vendront plus.

Moi je dis que quand ça coûte pas plus cher de faire bien, avec plus de facilité et de sécurité... beh... faut pas s'en priver !

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...