A Global Prime não consegue lidar com dados de clientes com segurança Há mais de uma semana, escrevi sobre a Global Prime não usar SSL em formulários que exigem dados de clientes no fórum stevehopwoodforex. Minha postagem foi imediatamente excluída juntamente com minha conta. Eu tentei postar no donnaforex e o post foi deletado também. Provavelmente nunca passou dos moderadores. Pelo menos eles não excluíram minha conta. Global Prime ainda não fez nada sobre o assunto. É evidente que eles não estão levando muito a sério. Aqui estão alguns formulários no site Global Prime que enviam dados de clientes não criptografados pela Internet (nome, email, conta nr, verificação de cartão de crédito, etc): globalprime. au/forex/. - card-funding / globalprime. au/forex/. Para ilustrar o risco, aqui estão alguns exemplos do que foi feito com alguns dos dados listados acima que não são transferidos com segurança: Como as falhas de segurança da Apple e da Amazon levaram às informações do My Epic Hacking Bank podem estar em risco. meu post original para a seção Global Prime do fórum stevehopwoodforex e para a seção broker do fórum donnaforex: Por que não. O site globalprime não parece ter ou usar um certificado SSL. Se sim, por que eles fariam isso? É imprudente e irresponsável. Vendo que eles têm seus clientes varreduras de cartão de crédito transmitidos para o site e eles de alguma forma lidar com pagamentos com cartão de crédito, eles não estão sujeitos a regras de conformidade com PCI pcicomplianceguide. org/pci-faqs-2/ Do FAQ de conformidade PCI: Q: O que é PCI A: O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um conjunto de requisitos projetados para garantir que TODAS as empresas que processam, armazenem ou transmitam informações de cartão de crédito mantenham um ambiente seguro. Essencialmente, qualquer comerciante que tenha um Merchant ID (MID). P: A quem o PCI aplica A: O PCI se aplica a TODAS as organizações ou comerciantes, independentemente do tamanho ou do número de transações, que aceita, transmite ou armazena os dados do portador do cartão. Dito de outro modo, se algum cliente dessa organização pagar o comerciante diretamente usando um cartão de crédito ou cartão de débito, os requisitos do PCI DSS serão aplicados. P: Se eu só aceito cartões de crédito pelo telefone, o PCI ainda se aplica a mim? R: Sim. Todas as empresas que armazenam, processam ou transmitem dados do portador do cartão de pagamento devem ser compatíveis com PCI. P: O que é definido como dados do titular do cartão A: Dados do portador do cartão são quaisquer dados pessoais identificáveis associados a um portador do cartão. Pode ser um número de conta, data de validade, nome, endereço, número do CPF, etc. Todas as informações pessoalmente identificáveis associadas ao portador do cartão que é armazenado, processado ou transmitido também são consideradas como dados do portador do cartão. P: Quais são as penalidades por não cumprimento A: As marcas de pagamento podem, a seu critério, multar um banco adquirente de 5.000 a 100.000 por mês por violações de conformidade com PCI. Os bancos provavelmente passarão esta multa a jusante até que finalmente atinja o comerciante. P: Sou compatível com PCI se tiver um certificado SSL R: Não. Certificados SSL não protegem um servidor Web contra ataques ou intrusões mal-intencionados. Os certificados SSL de alta garantia fornecem o primeiro nível de segurança e segurança ao cliente, como o abaixo, mas há outras etapas para obter a conformidade com PCI.
No comments:
Post a Comment