Bonjour à tous!
Voilà j'ai une question en tête...
Imaginons que vous ayez un formulaire avec un champ "Numéro de carte bancaire" et un champ mail pour une action pub/newsletter.
Le tout devrait être sécurisé dans une base de données (MYSQL)
Niveau transfert des données formulaires vers le script de stockage, quels moyens de sécurité utiliseriez-vous afin de sécuriser les champs ???
Crypter le numéro de carte et autre....
Merci car j'aimerais en savoir plus sur ce point délicat de sécurité...
Biz!
la communauté d'entraide francophone dédiée au PHP
Cryptage de formulaire et carte bancaire
1erement, il faut savoir que la mémorisation de coordonnées bancaire est soumise à réglementation. Renseigne toi bien avant de te mettre dans l'illégalité 
Sinon, je pense que la base est d'utilisée une connexion https pour sécuriser les transferts entre les clients et ton serveur.
Enfin, je pense qu'il faudrait hacher le code pour ne pas le stocker en clair dans ta base.
Sinon, je pense que la base est d'utilisée une connexion https pour sécuriser les transferts entre les clients et ton serveur.
Enfin, je pense qu'il faudrait hacher le code pour ne pas le stocker en clair dans ta base.
Connaître son ignorance est la meilleure part de la connaissance
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Si tu hashes le code tu ne pourras pas récupérer l'original1erement, il faut savoir que la mémorisation de coordonnées bancaire est soumise à réglementation. Renseigne toi bien avant de te mettre dans l'illégalité
Sinon, je pense que la base est d'utilisée une connexion https pour sécuriser les transferts entre les clients et ton serveur.
Enfin, je pense qu'il faudrait hacher le code pour ne pas le stocker en clair dans ta base.
A ma avis il n'y a que le cryptage qui pourrait convenir avec comme tu le disais une connexion https...Arf, désolé ...
Je devrais relire 2 fois mes messages les dimanches après un repas arrosé
Je devrais relire 2 fois mes messages les dimanches après un repas arrosé
Connaître son ignorance est la meilleure part de la connaissance
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
que les données bancaires sont ultra-sensibles et qu'il faut être un dieu de la sécurité ?
Moi je réflechirais très fort avant de conserver des données bancaires sur un serveur, sachant que si elle se perdent dans la nature, c'est contre moi que les gens se retourneraient.
Moi je réflechirais très fort avant de conserver des données bancaires sur un serveur, sachant que si elle se perdent dans la nature, c'est contre moi que les gens se retourneraient.
En plus d'apporter un énorme "+" à Berzemus pour son avertissement, je voudrais te réexpliquer le détail de base de l'architecture client/serveur :
Sur cette image, les clients sont les ordinateurs de tes client, et le serveur, ton serveur LAMP.
Seules les requêtes doivent être cryptées puisqu'elles transitent dans des cables sur le net et que tout le monde peut les intercepter.
Une fois sur le serveur, elles sont à l'abri chez toi. La seule manière pour quelqu'un d'avoir accès à ces données serait de s'introduire sur ton serveur, et là, tu auras d'autres soucis que de protéger les transferts entre qcript puisqu'il aura accès à la base de données directement
Sur cette image, les clients sont les ordinateurs de tes client, et le serveur, ton serveur LAMP.
Seules les requêtes doivent être cryptées puisqu'elles transitent dans des cables sur le net et que tout le monde peut les intercepter.
Une fois sur le serveur, elles sont à l'abri chez toi. La seule manière pour quelqu'un d'avoir accès à ces données serait de s'introduire sur ton serveur, et là, tu auras d'autres soucis que de protéger les transferts entre qcript puisqu'il aura accès à la base de données directement
Connaître son ignorance est la meilleure part de la connaissance
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Lol merci pour les détails mais ça va je suis pas débile!En plus d'apporter un énorme "+" à Berzemus pour son avertissement, je voudrais te réexpliquer le détail de base de l'architecture client/serveur :
Sur cette image, les clients sont les ordinateurs de tes client, et le serveur, ton serveur LAMP.
Seules les requêtes doivent être cryptées puisqu'elles transitent dans des cables sur le net et que tout le monde peut les intercepter.
Une fois sur le serveur, elles sont à l'abri chez toi. La seule manière pour quelqu'un d'avoir accès à ces données serait de s'introduire sur ton serveur, et là, tu auras d'autres soucis que de protéger les transferts entre qcript puisqu'il aura accès à la base de données directement
J'ai pas demandé niveau sécurité serveur car ce n'est pas moi qui m'en occupe, j'ai bien posé la question au niveau transfert des données vers le script et donc transit "dans les câbles sur le net" (dixit Zeus) ....
Sans rancune...
ViPHP |
5924 Messages
Bah le ssl pour la connexion http, ca c'est évidemment indispensable, et après pour la connexion à la base de données ca dépend après si le SGBD est installé sur le même serveur ou non, et en l'occurence, si les données du serveur SQL au serveur HTTP passent par le net, il faudra trouver un moyen de les crypter aussi…
Profil linkedin : http://fr.linkedin.com/pub/emmanuel-thierry/1b/524/630
Profil viadeo : http://www.viadeo.com/fr/profile/emmanuel.thierry4
Profil viadeo : http://www.viadeo.com/fr/profile/emmanuel.thierry4
fingerprint_technologies
Invité n'ayant pas de compte PHPfrance
Bonjour,
Pour un de nos clients, nous allons stocker des coordonnées bancaires.
Le client est prévenu, trois fois, et il y a des limitations au stockage, notamment en terme de durée, qui justifient le fait qu'on accepte de stocker les numéros de CB - on ne revient pas là-dessus.
Caractéristiques de l'hébergement :
* connexion https
* serveur dédié (tout est dessus : site web + site sécurisé + mysql)
Avec quoi préconisez-vous de crypter les coordonnées bancaires que l'on stocke dans la base ?
Je vois que vous parliez de mcrypt, avec quel algorithme de chiffrement ?
Est-ce qu'il vaut mieux faire un gros paquet avec les données (n° CB + date validité + cryptogramme), et le crypter, ou a-t-on le même niveau de sécurité si l'on se contente de crypter séparément chaque champ ?
Pour un de nos clients, nous allons stocker des coordonnées bancaires.
Le client est prévenu, trois fois, et il y a des limitations au stockage, notamment en terme de durée, qui justifient le fait qu'on accepte de stocker les numéros de CB - on ne revient pas là-dessus.
Caractéristiques de l'hébergement :
* connexion https
* serveur dédié (tout est dessus : site web + site sécurisé + mysql)
Avec quoi préconisez-vous de crypter les coordonnées bancaires que l'on stocke dans la base ?
Je vois que vous parliez de mcrypt, avec quel algorithme de chiffrement ?
Est-ce qu'il vaut mieux faire un gros paquet avec les données (n° CB + date validité + cryptogramme), et le crypter, ou a-t-on le même niveau de sécurité si l'on se contente de crypter séparément chaque champ ?
nostyle
Invité n'ayant pas de compte PHPfrance
Bonjour,
Attention, il y a un standard, PCI-DSS à respecter en ce qui concerne les données carte bancaires. Le stockage du cryptogramme est notamment interdit, qu'il soit chiffré ou non.
Pour moi, tout cette partie chiffrement n'est pas le point le plus délicat en ce qui concerne le stockage des données cartes de crédit.
Je vous invite à consulter le standard en lui même pour de plus amples informations car il est impossible de tout résumer en un seul message.
https://www.pcisecuritystandards.org/se ... i_dss_v2-0
Attention, il y a un standard, PCI-DSS à respecter en ce qui concerne les données carte bancaires. Le stockage du cryptogramme est notamment interdit, qu'il soit chiffré ou non.
Pour moi, tout cette partie chiffrement n'est pas le point le plus délicat en ce qui concerne le stockage des données cartes de crédit.
Je vous invite à consulter le standard en lui même pour de plus amples informations car il est impossible de tout résumer en un seul message.
https://www.pcisecuritystandards.org/se ... i_dss_v2-0