Bonjour,

Attention, il y a un standard, PCI-DSS à respecter en ce qui concerne les données carte bancaires. Le stockage du cryptogramme est notamment interdit, qu'il soit chiffré ou non.
Pour moi, tout cette partie chiffrement n'est pas le point le plus délicat en ce qui concerne le stockage des données cartes de crédit.

Je vous invite à consulter le standard en lui même pour de plus amples informations car il est impossible de tout résumer en un seul message.

https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0

Bonjour,

Pour un de nos clients, nous allons stocker des coordonnées bancaires.
Le client est prévenu, trois fois, et il y a des limitations au stockage, notamment en terme de durée, qui justifient le fait qu'on accepte de stocker les numéros de CB - on ne revient pas là-dessus.

Caractéristiques de l'hébergement :
* connexion https
* serveur dédié (tout est dessus : site web + site sécurisé + mysql)
Avec quoi préconisez-vous de crypter les coordonnées bancaires que l'on stocke dans la base ?
Je vois que vous parliez de mcrypt, avec quel algorithme de chiffrement ?
Est-ce qu'il vaut mieux faire un gros paquet avec les données (n° CB + date validité + cryptogramme), et le crypter, ou a-t-on le même niveau de sécurité si l'on se contente de crypter séparément chaque champ ?

Bah le ssl pour la connexion http, ca c'est évidemment indispensable, et après pour la connexion à la base de données ca dépend après si le SGBD est installé sur le même serveur ou non, et en l'occurence, si les données du serveur SQL au serveur HTTP passent par le net, il faudra trouver un moyen de les crypter aussi…

[quote="zeus"]En plus d'apporter un énorme "+" à [b]Berzemus[/b] pour son avertissement, je voudrais te réexpliquer le détail de base de l'architecture client/serveur :

[img]http://www.commentcamarche.net/cs/images/cs.gif[/img]
Sur cette image, les clients sont les ordinateurs de tes client, et le serveur, ton serveur LAMP.
Seules les requêtes doivent être cryptées puisqu'elles transitent dans des cables sur le net et que tout le monde peut les intercepter.
Une fois sur le serveur, elles sont à l'abri chez toi. La seule manière pour quelqu'un d'avoir accès à ces données serait de s'introduire sur ton serveur, et là, tu auras d'autres soucis que de protéger les transferts entre qcript puisqu'il aura accès à la base de données directement ;)[/quote]

Lol merci pour les détails mais ça va je suis pas débile! :lol:

J'ai pas demandé niveau sécurité serveur car ce n'est pas moi qui m'en occupe, j'ai bien posé la question au niveau transfert des données vers le script et donc transit "dans les câbles sur le net" (dixit Zeus) ....

Sans rancune... :wink:

En plus d'apporter un énorme "+" à [b]Berzemus[/b] pour son avertissement, je voudrais te réexpliquer le détail de base de l'architecture client/serveur :

[img]http://www.commentcamarche.net/cs/images/cs.gif[/img]
Sur cette image, les clients sont les ordinateurs de tes client, et le serveur, ton serveur LAMP.
Seules les requêtes doivent être cryptées puisqu'elles transitent dans des cables sur le net et que tout le monde peut les intercepter.
Une fois sur le serveur, elles sont à l'abri chez toi. La seule manière pour quelqu'un d'avoir accès à ces données serait de s'introduire sur ton serveur, et là, tu auras d'autres soucis que de protéger les transferts entre qcript puisqu'il aura accès à la base de données directement ;)

que les données bancaires sont ultra-sensibles et qu'il faut être un dieu de la sécurité ?

Moi je réflechirais très fort avant de conserver des données bancaires sur un serveur, sachant que si elle se perdent dans la nature, c'est contre moi que les gens se retourneraient.

Oui j'avais pensé utiliser la fonction mcrypt...

Au niveau du passage du formulaire, https oui mais s'il n'y a pas je pensais faire une connexion SSL entre les scripts (si le serveur le supporte).

Qu'en pensez-vous ?

Arf, désolé ...

Je devrais relire 2 fois mes messages les dimanches après un repas arrosé ;)

[quote="zeus"]1erement, il faut savoir que la mémorisation de coordonnées bancaire est soumise à réglementation. Renseigne toi bien avant de te mettre dans l'illégalité ;)

Sinon, je pense que la base est d'utilisée une connexion https pour sécuriser les transferts entre les clients et ton serveur.

Enfin, je pense qu'il faudrait hacher le code pour ne pas le stocker en clair dans ta base.[/quote]

Si tu hashes le code tu ne pourras pas récupérer l'original :-k A ma avis il n'y a que le cryptage qui pourrait convenir avec comme tu le disais une connexion https...

1erement, il faut savoir que la mémorisation de coordonnées bancaire est soumise à réglementation. Renseigne toi bien avant de te mettre dans l'illégalité ;)

Sinon, je pense que la base est d'utilisée une connexion https pour sécuriser les transferts entre les clients et ton serveur.

Enfin, je pense qu'il faudrait hacher le code pour ne pas le stocker en clair dans ta base.

Bonjour à tous!

Voilà j'ai une question en tête...

Imaginons que vous ayez un formulaire avec un champ "Numéro de carte bancaire" et un champ mail pour une action pub/newsletter.

Le tout devrait être sécurisé dans une base de données (MYSQL)

Niveau transfert des données formulaires vers le script de stockage, quels moyens de sécurité utiliseriez-vous afin de sécuriser les champs ???

Crypter le numéro de carte et autre....

Merci car j'aimerais en savoir plus sur ce point délicat de sécurité...

Biz!