ABAKUS

darfst du Kreditkartendaten überhaupt speichern? Soweit ich weis müssen die nach Abschluß einer Zahlung direkt gelöscht werden...

darum gehts doch hier nicht, und ich wohn auch nicht in D wo man vor jedem pups erstmal ne unbedenklichkeitsbescheinigung braucht

auf der seite ist eine checkbox " [ ] kreditkartendaten mit profil speichern ". die kann, aber muss man nicht anklicken.

naja... hat doch nix mit D zu tun... soweit ich weis ist das eine Auflage von den kreditkartengesellschaften...

hier, schau mal:

https://www.finanznachrichten.de/nachri ... 295573.asp

...
...
Der PCI DSS (Payment Card Industry Data Security Standard) ist der gemeinsame Sicherheitsstandard der Kreditkartenunternehmen; er schlägt den Einsatz einer Web Application Firewall (WAF) oder regelmäßige Source-Code-Audits vor. Der Schutz der Web-Anwendungsebene ist derzeit noch eine Best-Practice-Empfehlung, ab 1. Juli 2008 wird er verpflichtend.

...
...

wenn du Kreditkartendaten also Speichern willst musst du technische Vorraussetzungen erfüllen....

Hallo,

ich möchte Dir dringend raten Kontakt zum jeweiligen
Datenschutzbeauftragten deines Bundeslandes aufzunehmen
und vor allem die Art wie auf welchen Medien, wer Zugang zu den
Daten hat, wer Zugang zu den Backups hat e.t.c. hat zu klären.

https://www.bfdi.bund.de/cln_007/nn_531 ... ragte.html

Weiter müßtest Du dich mit den Kreditkarten Firmen
die juristisch das Vertiebsmodell in Deutschland vertreten
die Du speichern möchtest auseinander setzen.

Ich möchte Dir aber dringend von deinem Vorhaben abraten.
Alleine ein Verstoss gegen das Datenschutzgesetzt in bezug
auf Kreditkarten kann eine Freiheitsstrafe nach sich ziehen.
Ganz zu schweigen wenn sich eine Kreditkartenfirma in einem
Betrugsfall bei Dir meldet.

Wie Behörden das sammeln von Kreditkartendaten bewerten kannst
Du am Fall von "Jonny Hell" sehen.

https://www.spiegel.de/spiegel/0,1518,562961,00.html

Die machen da keinen Unterschied illegal sammeln ist illegal sammeln.



Gruß

Micha

hier auch nochmal detailiertere Infos wie diese Richtlinien aussehen, und die gelten weltweit: https://www.computerwoche.de/knowledge_ ... ty/528160/

seonewbie hat geschrieben:Hallo,
ich möchte Dir dringend raten Kontakt zum jeweiligen
Datenschutzbeauftragten deines Bundeslandes aufzunehmen

das projekt laeuft nicht in d, wird nicht in d gehostet die firma ist auch nicht aus d.

@networker:

das projekt speichert die daten schon seit 2003 oder so, seit es die db in dieser form gibt - die wird jetzt aber ueberholt. kanns ja mal an den projektleiter weitergeben; hab davon aber noch nie was gehoert
am ende entscheidet trotzdem wieder jemand anderes.

letztens hat auch wieder einer meiner vorschlaege den ich vor 2 monaten mal angebracht hatte den weg zurueck in meine mailbox gefunden "wie ware es wenn (meine idee hier)". als ich das zuerst angebracht hatte hies es noch "ne geht nicht - ist uns zu teuer" (300 $usd/jahr)

nerd hat geschrieben:nun haben die leute die moeglichkeit (optional) die kreditkartendaten zu speichern, wie gehe ich bei sowas am besten vor?
bisher habe ich eine extra tabelle mit user_id, nummer, inhaber, exp. date und sec nummer.

Haben wir da jetzt noch so einen Schlaumeier, der den Sinn der Prüfnummer nicht begriffen hat und damit den Schutz vor Datenklau ad absurdum treibt?

bei einem insert werden die daten mit einem trigger abgefangen, verschluesselt und gespeichert.

Statt mit einer weitestgehend sinnlosen Verschlüsselung rumzuspielen (was nützt ein Tresor, wenn der Tresorschlüssel zwei Meter weiter offen auf dem Schreibtisch liegt?) solltest du dich vielleicht besser mal mit den Vertragsgrundlagen der Kreditkartenbranche auseinandersetzen: https://www.pcisecuritystandards.org/se ... s_v1-1.pdf.

PS: Mit deutschen Gesetzen hat das alles herzlich wenig zu tun.

alle Verfahren wären mir zu unsicher, von der Eingabe, der Übertragung bis hin zur Sicherheit in der Datenbank. Der Schaden wäre nicht auszudenken wenn die Nummern in falsche Hände geraten.
Dafür kommt keine Bank auf ...

Hatte ich ganz vergessen,

ein System was solch sensible Daten speichert
sollte ein BSD Unix, SUN oder Novell Netware sein
oder zumindest ein Debian mit verschlüsseltem
Plattensubsystem sein. Auf keinen Fall Windows Server!

Weiter solltest Du unbedingt mit Apparmor einsetzen:
https://www.novell.com/linux/security/apparmor/
um eine höhere Sicherheit bei den einzelnen Prozessen
gegeneinander, gegen manipulationen über den Arbeitsspeicher
so wie gegen Fremdzugriff über gehackte Prozesse zu erlangen.

Weiter mußt Du den physikalischen Zugang deiner Mitarbeiter
zu dem Server protkolieren, Verschwiegenheitserklährung
e.t.c.

Denke da hast Du Dir echt ein anspruchsvolles Projekt ans Bein
gebunden.

Übrigens auch wenn das keine Deutsches Projekt ist es reicht
wenn Du Deutscher bist und ein Deutscher Kunde zu schaden
kommt. Weiter haben fast alle Länder Vorschriften zum Datenschutz
ich glaube selbst Somalia hat das und da habe ich echt gestaunt.

Im übrigen das was Networker gepostet hat sind denke ich die
Mindestanforderungen ... Du hast hier aber mächtige Vertragspartner
Amex und Maestro die auch noch einmal eigenen Bestimmungen
zum Datenschutz haben die Du peinlich genau beachten mußt ...
denn die verklagen dich Weltweit oder lassen dich über den
Secret Service einsammeln auch in Deutschland wie man am guten
Jonny sieht.


Gruß

Micha

Du / Ihr habt also eine Datenbank im Internet die seit 2003 Kredikartennummern mitsamt zugehöriger Prüfnummer speichert. Find ich echt gut! Verrätst du uns auch die zugehörige Domain?

hab nochmal nachgesehen, die pruefsumme wird nicht gespeichert.

@Mork vom Ork
kann man auch netter sagen. ich bin nur der der es umsetzen soll - nicht der, der sich die geschichte ausdenkt! mit den gesetzen hab ich auch wenig am hut, bin davon ausgegangen das das alles korrekt ist wenns so in der spezifikation steht...?

wer jetzt denkt die nummern zu speichern waere unsicher der hat noch nie die technischen details des servers bei der bank gesehen (und auf die ich keinen einfluss habe) - DA tun sich abgruende auf! und damit ist noch nichtmal die erreichbarkeit von 85% (durchschnittswert letzte 3 monate) gemeint...

nerd hat geschrieben:

Mork vom Ork hat geschrieben:Haben wir da jetzt noch so einen Schlaumeier, der den Sinn der Prüfnummer nicht begriffen hat und damit den Schutz vor Datenklau ad absurdum treibt?

kann man auch netter sagen. ich bin nur der der es umsetzen soll - nicht der, der sich die geschichte ausdenkt!

Na, dann bist du ja nicht der Schlaumeier - jedenfalls nicht zur Gänze. Den verantwortlichen Schlaumeier hinweisen auf solchen Bockmist, der bei Entdeckung durch die Kreditkartenfirma unangenehme wirtschaftliche Folgen haben könnte (Kündigung, Schadensersatz), sollte trotzdem deine Aufgabe als Datenverarbeitungsfachkraft sein.

Wenn ich als Kreditkartennutzer und somit potentiell Geschädigter sowas bemerke, krieg' ich einen dicken Hals (und da bin ich offenbar nicht der einzige).

mit den gesetzen hab ich auch wenig am hut

Das hat nichts mit Gesetzen zu tun, sondern mit den Vertragsbedingungen, unter denen die Kreditkartenfirmen jemandem erlauben, Kreditkarten zur Bezahlung anzunehmen - und die auch bestimmen, welche Keule in Form einer Vertragsstrafe auf den Missetäter niederschwingt.

wer jetzt denkt die nummern zu speichern waere unsicher der hat noch nie die technischen details des servers bei der bank gesehen (und auf die ich keinen einfluss habe) - DA tun sich abgruende auf!

„Der hat das aber auch gemacht“ ist genauso wie „Der hat aber angefangen“ schon in der Sandkiste die denkbar schlechteste Ausrede für selbst gemachte Fehler.
Zumal: Wenn sich DA solche Abgründe auftun, frage ich mich eher, warum ihr nicht die Bank wechselt. Das mit der Prüfnummer ist zwar geklärt, aber jetzt steht ihr wieder da als ein Laden, der sich einen Pups um seine Kunden schert. Nicht deine Schuld, aber dumm gelaufen ist das trotzdem.