[ePay-SE]

Hej iostream

Tack för din feedback - det är oerhört viktigt för oss!

Först och främst kan jag meddela att vi håller på att programmera en ny version av betalningssystemet/admin gränssnittet, så du inte behöver fråga katten varje gång du ska logga in eller skapa ett nytt lösenord.
- Förmedlingen av lösenordet kommer även att ske på annan vis.

Till info så utgör detta inte en säkerhetsrisk angående kortuppgifter, eftersom man under inga omständigheter kan se dem i admin gränssnittet. Det är alltså inte möjligt att extrahera kortnummer och andra känsliga uppgifter omkring kosumenten via företagets admin gränssnitt.

Detta omfattas ej av PCI-reglerna eftersom det inte har något med kortuppgifter att göra.

Därför är det bäst för alla parter att det ska vara så lätt som möjligt för företag att logga in/få sina uppgifter till ePay administrationen. Så vi har tills vidare valt att skicka detta oskyldiga lösenord i ett e-postmeddelande (dock enbart till den adressen/adresser som är registrerade).

Du skriver även lite om dead links på vår hemsida och jag vill gärna skriva en liten kommentar till detta också. Den primära orsaken till det är den nyliga uppdatering av själva betalfönstret och vissa lösningar/guides som ej längre är tillgängliga.
- Det är självklart något vi jobbar på att eliminera, men just nu är det nedprioriterat eftersom håller på att designa och programmera en helt ny hemsida, som vi räknar med att lancera i 2014 (exakt tidpunkt kan ännu inte avslöjas).

Citat:

Ursprungligen postat av Clarence

Jag skummade igenom PCI DSS (Payment Application Data Security Standard) och det verkar som om det de senaste 3 åren (med PCI DSS 2.0) inte varit krav på envägskryptering av lösenord men att det kom först i November (med PCI DSS 3.0).

Så det kan tyvärr vara så att de följer (den gamla) standarden för branchen för lagringen då det är tillåtet att lagra lösenordet med tvåvägs-kryptering. Däremot så säger den också att lösenorden måste skyddas av "strong cryptography during transmission" och det kan väl ändå inte gå ihop med att skicka lösenordet i mail??

Sen förklarar dettta förvisso inte de väldigt konstiga begränsningarna de har för lösenordet. Det tyder ju på att det helt emot standarden faktiskt lagras i klartext ändå.

Men i PCI-DSS 3.0 har de äntligen bytt ut "strong cryptography during transmission and storage" till "strong cryptograhy during transmission" och "strong, one-way cryptographic
algorithm" för storage.

Hej Clarence

Stämmer det att du refererar till punkt 8.2.1 i PCI DSS 3.0?

I så fall, så har detta som tur är inget med lösenordet till företagets admin gränssnitt eller förmedlingen av detta att göra. Det handlar däremot om kryptering av interna uppgifter, koder och liknande hos PSP'n som har med tillgång till kortdata mm. att göra.

Vi är PCI certificerade hos både Mastercard och VISA, vilket innebär att vi uppfyller alla krav enligt PCI DSS. Certifikatet måste förnyas årligen och detta sköts alltid av en QSA (Qualified Security Assessor), för att säkra att alla nya/nödvändiga tilltag i PCI standarden tillhandahålls av PSP'n.

-------------------------------------------------------------------------

Om jag har missat något får ni gärna säga till!

Feedback välkomnas alltid på [email protected] i fall man har förslag till förbättringar av hemsida, admin gränssnitt eller själva betalfönstret.

[j0han]

Citat:

Ursprungligen postat av ePay-SE

Så vi har tills vidare valt att skicka detta oskyldiga lösenord i ett e-postmeddelande (dock enbart till den adressen/adresser som är registrerade).

Ni måste skoja?

Ni kan ju inte se era kunders lösenord som oskyldiga och obetydliga? Lösenorden kan ju vara samma lösenord som till mail, som i sin tur leder till annat.

Ni kommer aldrig någonsin få mig som kund åtminstone.

[ePay-SE]

Citat:

Ursprungligen postat av j0han

Ni måste skoja?

Ni kan ju inte se era kunders lösenord som oskyldiga och obetydliga? Lösenorden kan ju vara samma lösenord som till mail, som i sin tur leder till annat.

Ni kommer aldrig någonsin få mig som kund åtminstone.

Hej j0han

Du kanske missade något av det jag skrev i mitt första inlägg. Förmedlingen av lösenordet till admin gränssnittet håller på att bli ändrat i samband med uppdateringen av detta.

Det kommer bli lite mer klurigt att få tag på sitt lösenord, men säkerheten bör och ska vara i topp oavsett vad man får tillgång till och vad man inte får tillgång till - jag håller med dig 100%.

Kanske formulerade mig dåligt när jag sa "oskyldigt", vilket jag enbart menade i den specifika kontext, som själva ämnet handlar om, alltså kortuppgifter.

[Nerix]

Citat:

Ursprungligen postat av ePay-SE

Det kommer bli lite mer klurigt att få tag på sitt lösenord, men säkerheten bör och ska vara i topp oavsett vad man får tillgång till och vad man inte får tillgång till - jag håller med dig 100%.

Klurigare att få tag i lösenordet? Detta ska aldrig gå, oavsett om man är kund, administratör eller hackare. Lösenorden ska hashas, inte sparas i klartext eller i krypterad form.

[pelmered]

Herregud vad illa. Det borde verkligen komma en lag som reglerar hur man hanterar lösenord och användaruppgifter och en fet vite för de som inte sköter det.

Citat:

Ursprungligen postat av ePay-SE

Först och främst kan jag meddela att vi håller på att programmera en ny version av betalningssystemet/admin gränssnittet, så du inte behöver fråga katten varje gång du ska logga in eller skapa ett nytt lösenord.
- Förmedlingen av lösenordet kommer även att ske på annan vis.

Det är en extremt klen ursäkt. Det här innebär att ni har hanterat lösenord på det här sättet i över 10 år utan att göra något åt det för än nu. Som betalningsleverantör finns det två saker som ska prioriteras före ALLT annat oavsett. Det är säkerhet och tillgänglighet/driftsäkerhet.

Är man seriös så finns det inte på kartan att hantera lösenord på det här sättet oavsett vad man tillhandahåller för typ av tjänst, och om är PSP är det många gånger värre.

Man kan ju inte undgå att ifrågasätta er kompetens när man ser sånt här och jag har förlorat allt förtroende för er. Jag kommer aldrig använda er eller rekommendera er till någon.