Posts Tagged ‘güvenlik’

PCI DSS Kart No saklama

Ocak 30, 2019

işletmenize ( third party processing center, banka, ödeme kuruluşu, elektronik para kuruluşu, vs…) PCI DSS sertifikası alacaksanız kart numarasını sisteminizde nasıl saklayacağınız büyük bir dert.

Eğer sisteminizi sıfırdan kuruyorsanız, aşağıdaki yöntem çok temiz bir şekilde çalışıyor.

*Kart numarasını açık-clear bir şekilde hiçbir tabloda tutmayın.

*Kart tablosunda kart no nun HSM de encrypt halini ve hash’li halini tutun

*Diğer tüm tablolarda( provizyon, işyeri tabloları, vs…) her bir kart numarasına atadığınız bir ID değerini kullanın.

*Kart numarasının clear haline erişilmesi zorunlu ise ( takasa çıkılırken, vs…) HSM e gidip, kart numarasının clear halini alın.

*Kart numaraları için sürekli HSM IO’su yapmamak için kart için bir hash üretin, takas yüklerken varlık kontrolü gibi olayları HSM siz halledin.

Kart numaları konusunda, %100 PCI DSS Compliance -Uyumlu olun.

BKM Express

Ocak 28, 2013

BKM nin yeni icadi.
Amaci e-ticaret islemlerinde internet uzerinden kart bilgisinin girilmemesini saglamak.
Kart sahibi bkm express in web sitesi uzerinden kartini sisteme kaydettiriyor.
E-ticaret sitesinde bu arac ile ödeme seçeneği varsa kart bilgisini islem aninda siteye girmeden islemi tamamlamayi sağliyor.
İşlem kayitli kartlardan biri seçilerek gerçekleştiriliyor.

Kart bilgisinin işyeri ile paylaşılıp paylaşılmadığı hakkında net bir bilgim yok.

29/07/2017 -Güncelleme

BKMExpress işyeri entegrasyonu yapan bir işyerimizin sürecini izlerken bazı soruların cevabını da bulmuş oldum.
BkmExpress kart bilgisini hiçbir şekilde işyeri ile paylaşmıyor.
İşyeri X TL lik bir ödeme işlemini BKM Express üzerinden başlatıyor. BKM işyerine bu işlemi temsil eden bir token dönüyor.
İşyeri bu token ile müşterisini BKM Express Ödeme Sayfasına yönlendiriliyor.
BKM Express’e login olunduktan sonra kart sahibinin önüne ilgili işlem geliyor, kart sahibi kartını seçiyor ve işlemi onaylıyor.
Ardından BKM kendisi ilgili bankanın sanal pos’unu tetikliyor. Kritik nokta burası. Sanal pos’u bkm tetikliyor ve işyerine işlem başarılı/başarısız bilgisini dönüyor.
Yani bu çevrimde %100 kart bilgisi işyeri ile paylaşılmıyor.

BkmExpress’in mobilden de tetikleniyor olabilmesi gizli bir hazine gibi.
Startup lara duyrulur. Ödeme almalı bir iş yapıyorsanız, bkm epxress çok uygun bir çözüm olabilir.

Chip & Pin ile alışverişler neden daha güvenli?

Temmuz 17, 2012

Kredi kartınızla yaptığınız işlemlerin güvenli olması için 2 ana unsur mevcuttur:
Birincisi kartın gerçek olması,
ikincisi kartı kullanan kişinin kartın gerçek sahibi olması.
Çip ilk şartı, şifre (PIN) ise ikincisini sağlar.
Yani çip sahte kart basımını, şifre (PIN) de kayıp ve çalıntı kart kullanımını önler.

Garanti’nin sitesinden alıntı. link