Noisequik Posté 27 Juin 2005 Posté 27 Juin 2005 (modifié) Bonjour, je m'occupe actuellement de refaire un site commerce qui tournait sous OScommerce... Les marchands disposent d'un TPE physique sur lequel ils entrent les informations qui leur sont transmises. Par contre il me semble qu'il n'y a aucune sécurité dans l'envoi des données car je ne vois pas de cadenas ou de barre d'adresse en jaune. Maintenant j'ai fait mon propre site boutique en PHP/MySQL mais je me demande comment faire pour envoyer et stocker les données des cartes bancaires... Que se passe-t-il si je n'utilise pas SSL? Quelles sont les points importants a respecter pour que personne ne puisse aller voir les informations dans la partie admin ou lors de la transaction. ? Est-ce que osCommerce proposait déjà une bonne sécurité ? (le but étant d'avoir une sécurité au moins égale à l'ancien site, mais pas moins bien pour ne pas avoir de problème avec le marchand et les clients !!!) Modifié 27 Juin 2005 par Noisequik
Dan Posté 27 Juin 2005 Posté 27 Juin 2005 Bonjour et bienvenue à bord du Hub ! La logique voudrait que ce ne soit pas ton site qui traite les cartes bancaires mais bien le site de la banque. Il suffit pour ton client de signer un contrat de VAD avec sa Banque, et de mettre en place les scripts livrés. Dans ce cas, tu n'as pas à utiliser SSL, vu que les numéros de carte ne transitent jamais par ton site. Dan
Noisequik Posté 27 Juin 2005 Auteur Posté 27 Juin 2005 Merci, mais comme ils ont deja un système de vérification physique dans leurs bureaux, ils ont juste besoin du détail de la carte de crédit... Ils ne comptent pas changer de système Je pense donc qu'il faut utiliser une liaison SSL pour le formulaire où l'acheteur entre ses coordonnées et, quant à la partie admin, je pensais la protéger avec htaccess mais je ne sais pas si c'est suffisant. Mes préoccupations sont donc, avant tout,que personne ne puisse lire le numéro de la carte de crédit pendant la transaction, ni lire le contenu de la base de donnée MySQl...
bshop Posté 27 Juin 2005 Posté 27 Juin 2005 Oula je vois utilisation de TPE physique , je déconseille fortement.... Bon sinon si tu n'as pas le choix stocke tout cela sur un espace web différent du site e-commerce lui meme(sécu), transfert en HTTPS avec certificat SSL (type thawte) mais de nos jours on utilise un TPE virtuel et comme le dit DAN c'est la banque qui sécurise.... très old school comme démarche je traite ca actuellement pour un client... espérant t'avoir éclairé ... a+
Noisequik Posté 27 Juin 2005 Auteur Posté 27 Juin 2005 Oui je vais essayer d'en parler au client, mais je doute qu'il change d'avis car le système a déjà du lui couter pas mal d'argent... Sinon le site sera hébergé normalement chez Nexlink, hébergement mutualisé Standard http://www.nexlink.net/fr/hebergement-mutu...andard-plus.php avec option SSL a 120 Mais maintenant je ne sais pas quels sont les risques d'un tel hébergement surtout si tu me dis qu'il en faudrait 2 différents...
bshop Posté 27 Juin 2005 Posté 27 Juin 2005 ben deja si l'hebergement esten mutualisé j'espere que l'admin mettra régulierement a jour l'OS du serveur parce que le moindre trou de sécu d'un site perso et c'est la cata pour ton client.... bon ca arrive pas tous les jours mais quand ca arrive ca fait mal, sueurs froides assurées
Dan Posté 27 Juin 2005 Posté 27 Juin 2005 avec option SSL a 120 C'est pas loin du tarif pour un TPE virtuel... et c'est indispensable. Perso, je ne laisserais jamais mon numéro de carte sur un serveur non SSL. Dan
Noisequik Posté 28 Juin 2005 Auteur Posté 28 Juin 2005 (modifié) Ok je m'y perds un peu à vrai dire... - SI je prends l'option Liaison SSL 128bits avec certificat est-ce que le serveur sera SSL ou non ? - Que penser de la sécurité d'un site osCommerce qui se contente de placer les données de la carte dans la base de donnée ? (je ne connais pas assez ce système pour savoir ce qu'il vaut à ce niveau là...) - une transimission par mail sécurisé serait-elle possible ?? (ne rigolez pas, je crois que c'est ce qui est en place sur l'ancien site Modifié 28 Juin 2005 par Noisequik
dièse Posté 28 Juin 2005 Posté 28 Juin 2005 Je crois en plus (même si celà est beaucoup pratiqué) qu'il est interdit de conserver les numéros de cartes bancaires
Noisequik Posté 28 Juin 2005 Auteur Posté 28 Juin 2005 Oui effectivement je verrai bien au moins un sytème qui efface du serveur le numéro de carte après validation de la transaction
bshop Posté 28 Juin 2005 Posté 28 Juin 2005 Oui effectivement je verrai bien au moins un sytème qui efface du serveur le numéro de carte après validation de la transaction <{POST_SNAPBACK}> Ahhh ca c obligatoire, l'archivage des infos de paiement client est interdit au dela du cadre du traitement de la transaction
sully Posté 29 Juin 2005 Posté 29 Juin 2005 Je suis d'accord avec Dan. Faire gérer le paiement en ligne par la banque c'est beaucoup plus sérieux et sécurisé. C'est pas forcément donné, mais vu qu'un site fait avec oscommerce c'est pour le commerce... ou alors il y a l'option de ne pas faire payer par CB, mais par chèque, contre-remboursement. Tu peux voir les tarifs des solutions e-commerce compatible avec oscommerce ici J'ai installé la solution cybermut et franchement ce n'est pas trop compliqué et beaucoup plus sûr que de développer soi-même le paiement en ligne. Il ne faut pas oublier qu'avoir un mauvais programme peut entraîner des conséquences importantes: les cartes banquaires ce n'est pas sans risque.
Noisequik Posté 29 Juin 2005 Auteur Posté 29 Juin 2005 Malheureusement les clients ne semblent pas vouloir abandonner leur système actuel de TPE Physique... Il faudra que j'essaie de les convaincre dans un 2eme temps. Pour rappel, le site ne tournera pas sous osCommerce justement, c'était l'ancien site qui utilisait ce système. Donc, comment faire au mieux pour protéger mes données ? htaccess offre une bone sécurité pour la partie administrative ? Existe-t-il un système de mail sécurisé ?
Noisequik Posté 29 Juin 2005 Auteur Posté 29 Juin 2005 l'envoi d'un formulaire par mail, mais qui soit cripté par exemple, comme avec SSL, pour éviter qu'une personne mal attentionnée ne l'intercepte...
Dan Posté 29 Juin 2005 Posté 29 Juin 2005 l'envoi d'un formulaire par mail, mais qui soit cripté par exemple, comme avec SSL, pour éviter qu'une personne mal attentionnée ne l'intercepte... Là c'est carrément prendre un marteau-piqueur pour casser une noix. Un bon système de mail véritablement sécurisé te coûtera sensiblement plus cher qu'un TPE virtuel, tout en ne t'offrant pas du tout le même confort d'utilisation. Il faut aussi penser qu'une fois le mail reçu sur le poste de travail, il est interdit de garder les infos de carte hors du cadre de la transaction de paiement. Et tu ne pourras pas t'assurer que cette obligation sera remplie.
Noisequik Posté 29 Juin 2005 Auteur Posté 29 Juin 2005 ok je vois... Par contre ce que fait le vendeur avec ses numéros de cartes ne me concerne plus, normalement...
Magicoyo Posté 1 Juillet 2005 Posté 1 Juillet 2005 S'ils ont déjà un TPE physique avec leur bancque, ils ont aussi dajà un contrat de VAD. Cela ne devrait pas leur couter cher de demander en plus un TPE virtuel. Ils ne sont pas obligé pour autant de renoncer à posserder un TPE physique, mais les transactions en ligne seront procédées directement par la banque. Ca devrait pas leur coûter plus cher que les solutions détournées que tu cherches. En plus, leurs clients auront plus confiance et ils vendront plus. Moi je dis que quand ça coûte pas plus cher de faire bien, avec plus de facilité et de sécurité... beh... faut pas s'en priver !
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant