Hej iostream
Tack för din feedback - det är oerhört viktigt för oss!
Först och främst kan jag meddela att vi håller på att programmera en ny version av betalningssystemet/admin gränssnittet, så du inte behöver fråga katten varje gång du ska logga in eller skapa ett nytt lösenord.
- Förmedlingen av lösenordet kommer även att ske på annan vis.
Till info så utgör detta inte en säkerhetsrisk angående kortuppgifter, eftersom man under inga omständigheter kan se dem i admin gränssnittet. Det är alltså inte möjligt att extrahera kortnummer och andra känsliga uppgifter omkring kosumenten via företagets admin gränssnitt.
Detta omfattas ej av PCI-reglerna eftersom det inte har något med kortuppgifter att göra.
Därför är det bäst för alla parter att det ska vara så lätt som möjligt för företag att logga in/få sina uppgifter till ePay administrationen. Så vi har tills vidare valt att skicka detta oskyldiga lösenord i ett e-postmeddelande (dock enbart till den adressen/adresser som är registrerade).
Du skriver även lite om dead links på vår hemsida och jag vill gärna skriva en liten kommentar till detta också. Den primära orsaken till det är den nyliga uppdatering av själva betalfönstret och vissa lösningar/guides som ej längre är tillgängliga.
- Det är självklart något vi jobbar på att eliminera, men just nu är det nedprioriterat eftersom håller på att designa och programmera en helt ny hemsida, som vi räknar med att lancera i 2014 (exakt tidpunkt kan ännu inte avslöjas).
Citat:
Ursprungligen postat av Clarence
Jag skummade igenom PCI DSS (Payment Application Data Security Standard) och det verkar som om det de senaste 3 åren (med PCI DSS 2.0) inte varit krav på envägskryptering av lösenord men att det kom först i November (med PCI DSS 3.0).
Så det kan tyvärr vara så att de följer (den gamla) standarden för branchen för lagringen då det är tillåtet att lagra lösenordet med tvåvägs-kryptering. Däremot så säger den också att lösenorden måste skyddas av "strong cryptography during transmission" och det kan väl ändå inte gå ihop med att skicka lösenordet i mail??
Sen förklarar dettta förvisso inte de väldigt konstiga begränsningarna de har för lösenordet. Det tyder ju på att det helt emot standarden faktiskt lagras i klartext ändå.
Men i PCI-DSS 3.0 har de äntligen bytt ut "strong cryptography during transmission and storage" till "strong cryptograhy during transmission" och "strong, one-way cryptographic
algorithm" för storage.
|
Hej Clarence
Stämmer det att du refererar till punkt 8.2.1 i PCI DSS 3.0?
I så fall, så har detta som tur är inget med lösenordet till företagets admin gränssnitt eller förmedlingen av detta att göra. Det handlar däremot om kryptering av interna uppgifter, koder och liknande hos PSP'n som har med tillgång till kortdata mm. att göra.
Vi är PCI certificerade hos både Mastercard och VISA, vilket innebär att vi uppfyller alla krav enligt PCI DSS. Certifikatet måste förnyas årligen och detta sköts alltid av en QSA (Qualified Security Assessor), för att säkra att alla nya/nödvändiga tilltag i PCI standarden tillhandahålls av PSP'n.
-------------------------------------------------------------------------
Om jag har missat något får ni gärna säga till!
Feedback välkomnas alltid på
[email protected] i fall man har förslag till förbättringar av hemsida, admin gränssnitt eller själva betalfönstret.