• Super User

    Prenotazione con carta di credito

    Salve a tutti...
    Sto realizzando un sito web per una struttura ricettiva, il cliente mi ha chiesto di realizzare un modulo che permette all'utente di effettuare una prenotazione con convalida della carta di credito, mi chiedevo:

    • conviene memorizzare i dati della carta di credito nel DB? Se si come conviene crittografarli?
    • conviene eseguire la procedura di prenotazione in https?

    Grazie.


  • User Attivo

    @felino said:

    • conviene memorizzare i dati della carta di credito nel DB? Se si come conviene crittografarli?

    Il cliente prevede procedure in abbonamento in cui deve scalare settimanalmente/mensilmente/annualmente una quota? Se no, sconsiglialo. Il sistema deve accedere comunque ai dati in chiaro della carta di credito, quindi ammesso che li cripti, il sistema deve comunque avere la chiave di decrypt memorizzata da qualche parte. Se ti bucano il server, non ci vorrà l'arco della scienza a trovare la chiave di decrypt (ed eventualmente il vettore di inizializzazione ammesso che tu voglia usare AES-256/Rijndael).
    Se il cliente insiste, fagli la seguente domanda: "se la sentirebbe di risarcire le banche e/o le assicurazioni delle carte per centinaia di migliaia di euro in caso di sfondamento del server?".

    @felino said:

    • conviene eseguire la procedura di prenotazione in https?

    Conviene!? E' d'obbligo. Prendi uno di quei certificati SSL con copertura assicurativa.


  • Super User

    Capito, quindi meglio evitare la memorizzazione di carte di credito nel DB.

    Se volessi invece effettuare l'invio dei DATI della carta di credito via MAIL, quale procedura mi consiglieresti?

    Grazie.


  • User Attivo

    @felino said:

    Se volessi invece effettuare l'invio dei DATI della carta di credito via MAIL, quale procedura mi consiglieresti?

    Non ho capito che cosa vuoi dire... inviare i dati di credito di chi, e a chi? Ma soprattutto quando?


  • Super User

    Cioè utilizzare un classico modulo mail, ove l'utente può inserire i propri dati della carta di credito e far recapitare all'eventuale gestore tali dati.