где? зайди на любой сайт card2card переводов

которые мейнтейнят банки

там тупо https и ты ВСЮ информацию о карте вводишь тупо в формочки на сайте

ок, спасибо, сейчас погляжу чтоньть по этой теме из яблочных советов))

С передачей данных банковских карт там какойто довольно строгий стандарт

Есть шанс, что данные карты в жсоне по хттпс - это не совсем ему соответствие

til

>там там это где

В мире серьезного бизнеса

ясно))

ну вот я тож думаю об этом но меня убеждают в обратном (аргумент с банками вроде весомый, за исключением того что это не веб), но вот я пока не нашел какихт особых указаний на этот счет

serious busines

ты вообще куда конкретно собираешься данные о карте передавать?

на свой сервак типа для оплаты

какой смысл во всем этом оверхеде на защите, если узкое место все равно остается https

а бизнес серьезный))

ну если шифрануть это дело то плевать на https

а тебе разрешат так просто обрабатывать платежи? у визы/мастеркарда

для этого никаких нет стандартов разве

?

это проблемы сервера

для банковской деятельности, у эплов там еще чот дополнительно получать надо

ну если шифрануть это дело то плевать на https

чо за плевать на хттпс, ты пойми, дальше эти данные все равно хттпсом пойдут

что бы иметь возможность публиковать апп

чо за плевать на хттпс, ты пойми, дальше эти данные все равно хттпсом пойдут

да, но шифрованные данные или нет это большая разница

я не врубаю короче чо за дроч и я дико сомневаюсь, что у эппла какие-то там анальные игры на тему доп слоя шифрования для банкинга

Плейнтекстов в гет запросе

тут не банковская деятельность, тут просто передача на сервак данных карты для оплаты

Типа, никто не поверит что тебе настолько похуй

да, но шифрованные данные или нет это большая разница

омг, как тебе объяснить-то еще

Лучшая защита

А такие данные вообще нормально отправлять на сервер себе?

ты все равно на каком-то этапе будешь вынужден отправлять данные по хттпс

У нас был такой бэкенд

в банк допустим

Мы там для себя хранили данные карт

омг, как тебе объяснить-то еще

может мы не понимаем друг друга, но существует страййп который берет процент и он очень популярен, какой смысл им пользоваться если все так просто?

хз чо он там берет, но в банк твои данные пойдут все равно обычным хттпсом

короч вопрос в том чтоб доести данные карты до сервака так чтоб их не утянули, дальше сервак сам разберется что делать

ты чо думаешь обмажешь там модными квантовыми шифрами на нейросетях и банк их примет чтоль

ну и чтоб яблоки пропусстили

ой хз короч

развлекайся

я бы юзал просто хттпс

все юзают и ты юзай))

Мы там для себя хранили данные карт

такие данные разве можно хранить??

убер же хранит

и куча подобных сервисов

за кражу подобных данных, в курсе что светить может?)

такие данные разве можно хранить??

А кто меня остановит?

в том числе разрабам?)

что?

вот тото и оно

ну иди в суд подавай на убер

у нас уголовку дали ребятам

а на компанию 3 млрд штрафа

А ТЫ ДОКАЖИ ЧТО МЫ ХРАНИМ))

пф

шифруй свои данные кек

А ТЫ ДОКАЖИ ЧТО НЕ АЛЛАХ

я короче не знаю

Ксором шифрани

Или цезарем

И норм

салатом

вероятно это законодательно как-то разрешается

через анальные пляски

ERROR: S client not available

потому что в рашке и яндекс такси тоже хранит

да дохуя кто хранит

и опять же это проблема не приложения

приложение ничо не хранит

хранит сервер

а тебе нужно только отправить данные

и я на 146% уверен что хватит обычного ссля

https://toster.ru/q/76658

Если вы хотите хранить полные данные карт (без cvc, cvv - это хранить никто не разрешит, даже с сертификатом) вам нужно иметь сертификат PCI DSS. Хранить данные вы можете так же только в определенных местах - есть специализированные под это дело хостинги, но они стоят не малых денег. В России таких хостеров нет.

Прохождение сертификации огромный (простите) геморой. Во-первых это так же стоит денег (100+ т.р.), во-вторых ваше приложение будет подвергнуто атакам и проверенно на все возможные уязвимости, вы должны логировать все действия пользователей и куча всего прочего. Плюс ко всему, если вы заваливаете прохождение сертификации, то повторное прохождение так же платно. Гуглить про pci dss

ну вот видишь

чота есть

значит это как-то да можно

остальное похуй))

ну сверху описано как)

Без всяких проблем вы можете хранить и обрабатывать только маску PAN.

ну и вот коммент в точку: никак не хранить, предоставьте эквайринг банкам. исходя из того что вы задаёте такой вопрос - эти данные у вас гарантированно украдут.

https://ru.wikipedia.org/wiki/PCI_DSS

Яж сказал анальный стандарт

https://habrahabr.ru/post/304650/

да вот я тож эту статью глядел, но опять же использование стороннего сервиса

а заказчик уперся и в край не хочет юзать чтот стороннее

а как 3д секюр обходить будете?

чо за обходить

я из чата не понял, а там разве нет варианта просто показать вебморду от банка?

емнип 3д секюр довольно ебанутая хуйня, то есть она форсится не банком, а магазином))

и нахрена что-то хранить?

на счет вебморды пока не ясно, но мне тож нравится этот вариант

то есть это магазин обезопасивает себя от мошшеников, а не банк обезопасивает вас от мошенников))

у нас все подтверждения платы идет через 3d секюр который генерится на сайте банка

а потом обратно перенаправляет на магаз

это у вас