Je construis actuellement une site internet commercial et je suis confronté
à un problème. Selon le cahier des charges, je dois stocker les numéros de
cartes de crédit dans la base de données.
Tout le monde est conscient de la partie critique que comporte ce point du
site. Le stockage doit permettre au site marchand d'encaisser des montants à
intervalles régulières, sans avoir à demander la carte à chaque fois. Je
suis personnellement très réticent, à cause du risque de hacking, mais je
n'ai pas le choix.
Je sais que certains algorithmes, genre PGP, ou les clés de cryptage 128
bits utilisées en SSL sont difficilement violables, et c'est dans cette
optique que je verrais la chose, mais malheuresement je suis un grand
débutant dans la domaine et n'ait malheuresement pas le temps de me pencher
à fond sur le sujet, à mon grand regret.
Le site va stocker les numéros de cartes dans sa base de données, et je dois
aussi fournir un programme (écrit sous Delphi) au client pour qu'il fasse
l'encaissement. Ce programme va se connecter une fois par semaine et lire
dans la base de données les comptes qu'il faut débiter. Il va ensuite
récupérer le numéro de la carte de crédit crypté et le décrypter en local.
De là, un lien est fait sur la dll de paiement en ligne fourni par la banque
(sécurisé SSL 128 bits). J'aurais donc une clé de cryptage, sur le site
internet, et une clé de décryptage en local.
Je fais donc appel à vous pour m'informer des possibilités, car je ne sais
pas comment générer ces clés, je ne sais pas si c'est la méthode la plus
sûre (car elle doit absolument l'être). Je préfère un algorithme plus lent
et plus sûr que le contraire (j'ai 2-3 secondes de traitement pour chaque
payement. Ce temps peut être utilisé pour décrypter les autres codes).
J'aurais aussi besoin de vos lumières pour l'implémentation du système, le
serveur étant un Apache avec PHP 4.
C'est un peu comme si vous laissiez votre numéro de carte bancaire dans la base de données de Carrefour quand vous payez à la caisse.
Et vous croyez qu'ils en font quoi, Carrefour, des données de la transaction ? Des confettis pour le nouvel an ?
JL.
gl
La prochaine fois que vous payez par carte bancaires, echanger votre ticket client avec le ticket commerçant. Vous serez surpris du
J'essaierai, pour voir.
Et bien j'ai pu vérifier hier soir, et effectivement, sur le ticket commerçant le numéro est imprimé en entier sur la facturette. C'est réellement indécent. Et accessoirement, je n'avais pas bien lu ta contribution, où tu parles clairement de ticket commerçant. J'abais tout simplement oublié que le commerçant avait lui aussi une facturette.
Ce n'est pas indecent (quoique) et ca a une utilite : en cas de probleme technique (la transaction se perd), le commercant peut se faire crediter son compte a partir de sa version de la facturette (apres certains controles bien entendu : transaction non deja enregistree, donnees coherentes, etc.)
La prochaine fois que vous payez par carte bancaires, echanger votre
ticket client avec le ticket commerçant. Vous serez surpris du
J'essaierai, pour voir.
Et bien j'ai pu vérifier hier soir, et effectivement, sur le ticket
commerçant le numéro est imprimé en entier sur la facturette. C'est
réellement indécent. Et accessoirement, je n'avais pas bien lu ta
contribution, où tu parles clairement de ticket commerçant. J'abais tout
simplement oublié que le commerçant avait lui aussi une facturette.
Ce n'est pas indecent (quoique) et ca a une utilite : en cas de probleme
technique (la transaction se perd), le commercant peut se faire crediter
son compte a partir de sa version de la facturette (apres certains
controles bien entendu : transaction non deja enregistree, donnees
coherentes, etc.)
La prochaine fois que vous payez par carte bancaires, echanger votre ticket client avec le ticket commerçant. Vous serez surpris du
J'essaierai, pour voir.
Et bien j'ai pu vérifier hier soir, et effectivement, sur le ticket commerçant le numéro est imprimé en entier sur la facturette. C'est réellement indécent. Et accessoirement, je n'avais pas bien lu ta contribution, où tu parles clairement de ticket commerçant. J'abais tout simplement oublié que le commerçant avait lui aussi une facturette.
Ce n'est pas indecent (quoique) et ca a une utilite : en cas de probleme technique (la transaction se perd), le commercant peut se faire crediter son compte a partir de sa version de la facturette (apres certains controles bien entendu : transaction non deja enregistree, donnees coherentes, etc.)
