Des entreprises comme Amazon, etc. ont-elles une batterie de serveurs pour stocker des informations de carte de crédit sur une base de données?

Matthew Strax-Haber

Matthew Strax-Haber, a travaillé chez Amazon.com

Répondu il y a 222w

Disclaimer: J'ai brièvement travaillé pour Amazon, mais cette réponse n'est pas basée sur mes expériences là-bas.

Amazon, comme toute grande entreprise, doit respecter une norme appelée PCI (lien) lorsqu’il traite des informations de carte de crédit. PCI établit des directives très strictes sur la manière dont les données de carte de crédit peuvent être consultées et stockées. Cela nécessite à la fois une sécurité numérique et une sécurité physique qui empêchent les entités non autorisées d'accéder aux données. Les systèmes de paiement des grandes entreprises sont également soumis à des audits de sécurité réguliers pour confirmer leur conformité au PCI.

Ce ne sont là que quelques-unes des mesures de protection communes en vigueur dans l'industrie:

  1. Sécurité physique: l'emplacement des serveurs physiques contenant les données financières est protégé par un verrou sécurisé. Souvent, ces serrures nécessitent la présence de deux personnes ou plus pour les déverrouiller. (voir: Règle des deux hommes)
  2. Les ordinateurs contenant des informations financières sensibles sont conservés sur un réseau séparé. L'accès à ce réseau isolé peut être restreint à un très petit nombre d'ordinateurs «frontaliers» qui présentent une API très minimale pour le stockage et l'accès aux informations.
  3. Les serveurs qui facturent ne stockent pas les informations de carte de crédit. Au lieu de cela, ils ne possèdent qu'un «jeton» identifiant le mode de facturation. Ce jeton est ensuite transmis au système de facturation pour facturer le client. Par exemple, observez la façon dont Braintree (un processeur de paiement compatible PCI public) facture un client en utilisant uniquement le jeton généré précédemment lors du stockage des informations de facturation: Braintree: Créer une transaction à partir du coffre-fort.

    Le site Web de PCI offre un aperçu assez détaillé des meilleures pratiques en matière de tokenisation PCI: lien (pdf).

    Comme vous pouvez le constater, l’application / serveur qui émet la demande de facturation n’a pas besoin de connaître les informations de facturation. Au lieu de cela, il suffit d'avoir le bon jeton.

  4. Les API du système de stockage de paiement pour la lecture des données financières sont souvent très limitées. Par exemple, même avec le jeton correct et l’authentification complète de l’utilisateur, le système peut limiter les données fournies au type de carte, à la date d’expiration, aux derniers chiffres 4 de la carte de crédit, à une vérification de la validité de la carte de crédit et à une vérification. méthode de suppression des informations.

    Pour un exemple clair, examinez les informations que vous voyez lorsque vous affichez vos méthodes de paiement sur Amazon (Portefeuille Amazon.com). Avez-vous remarqué à quel point les informations affichées sont très limitées? Il est probable que les serveurs Web qui rendent votre vue de page ne peuvent pas accéder à plus d'informations que celles affichées sur cette page, même si des pirates informatiques ont pris le contrôle de ce serveur Web.

  5. Les systèmes compatibles PCI sont fréquemment testés par des professionnels de la sécurité chargés de détecter les points faibles de l'architecture de sécurité.
  6. Les systèmes de paiement disposent généralement de systèmes d'alarme et de journalisation sophistiqués pour prendre en charge la notification et l'audit en cas de violation.
Leggi:  Quelle est la meilleure stratégie de devinette sur le SAT?

Si vous avez suivi l'actualité récemment, vous avez probablement entendu parler des numéros de carte de crédit 40m + volés dans les magasins Target. Leur base de données de paiements n'a pas été violée. Au lieu de cela, les pirates ont placé des logiciels malveillants astucieux sur les terminaux de point de vente Windows de Target situés aux caisses enregistreuses qui transmettaient les informations de carte de crédit.

Les informations sur les cartes de crédit sont souvent volées sur des sites frauduleux imitant un véritable fournisseur. Avez-vous cliqué sur le lien "Amazon.com Wallet" ci-dessus? Si tel est le cas, j'espère que vous avez vérifié que c'était bien Amazon avant de vous connecter! (ne t'inquiète pas ... c'était).

En résumé, les grandes entreprises comme Amazon ont tout intérêt à protéger vos informations financières. Même une violation causerait de graves dommages à leur entreprise, à la fois par leur responsabilité et la perte de confiance de leurs clients. En outre, au moins aux États-Unis, si les données de votre carte de crédit sont volées et utilisées sans votre permission, vous n'êtes pas responsable des frais frauduleux au sens de la loi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.