Servidor y pago seguro para un comercio on-line
7 seguidores
Buenas.
Estoy montando un comercio on-line y me gustaría darle un mínimo de seguridad al tema.
He observado como en un webo de webs el envío de datos no se realiza de forma segura y no me molaría seguir el ejemplo.
Obviamente el pago a través de TPV ya es seguro, lo que no sé es si el envío de los datos personales/pedido que se realiza al cliente debe correr sobre SSL o que.
¿Alguien con experiencia en el tema? ¿Recomendaciones?
mendi Plus
Hola Ozke, puede que me salga una web con TPV virtual, acabaste bien el tema? Podrías recomendarme qué pasos seguir?
Muchas gracias.
dagi3d
montar una pasarela de pago no es algo excesivamente complejo.
tu leete la documentación y lo comprobarás. basicamente lo que tendrás que hacer es guardar el pedido en la base de datos, asignarle una referencia y pasársela a la pasarela junto con el importe(y algunos datos de comprobación), y luego ésta te hará una petición a tu web con el resultado de la operación y eso ya tu lo gestionas en consecuencia.
ozke
dagi3d
montar una pasarela de pago no es algo excesivamente complejo.
tu leete la documentación y lo comprobarás. basicamente lo que tendrás que hacer es guardar el pedido en la base de datos, asignarle una referencia y pasársela a la pasarela junto con el importe(y algunos datos de comprobación), y luego ésta te hará una petición a tu web con el resultado de la operación y eso ya tu lo gestionas en consecuencia.
Aún no la he hecho pq he estado en otros temas pero... y el correo electronico q se envía al cliente con los datos del pedido? Hay q montarlo en un servidor seguro o algo? Lo suyo es q se encripte para q no t lo pille alguien cn un sniffer o lo q sea. :?
dagi3d
cuando tu envias un correo, la comunicación se hace a través de un servidor smtp y el servidor web es algo totalmente ajeno. además, en el correo no debería aparecer información crítica, tan sólo algo que le sirva al cliente de referencia.
ozke
dagi3d
cuando tu envias un correo, la comunicación se hace a través de un servidor smtp y el servidor web es algo totalmente ajeno. además, en el correo no debería aparecer información crítica, tan sólo algo que le sirva al cliente de referencia.
Pero si hago el mail cn el php tío. No desde mi outlook. Incluso si fuese outlook, si no hay autenticacion t pillas el pass cn un sniffer :? Los datos son todos menos los d pago, ya m parecen suficientemente importantes. Si no le llegan al cliente... como hace el envío :? hay q enviarlos por bolas si no queremos q tenga q entrar siempre a la intranet para cualquier cosa.
dagi3d
a ver, aunque el correo lo mandes desde php, se hace desde la máquina que corre el servidor web, que acaba delegando el envio a un servidor smtp, que evidentemente tendrá su propia política de seguridad.
por eso, aunque tu le añadas una capa ssl al servidor web, no pinta nada a la hora de enviar el correo, ya que sirve para cifrar la comunicación entre cliente y servidor.
ozke
No si ya, pero el tema es... como sé si ese servidor encripta lo q envía? Y en definitiva... puedo enviar datos a traves d un mail d php d toda la vida o es una mala práctica?
Usuario desconocido
igual me salgo del tiesto, pero hacer los pagos a través de paypal? a mi me da bastante confianza
dagi3d
ozke
No si ya, pero el tema es... como sé si ese servidor encripta lo q envía? Y en definitiva... puedo enviar datos a traves d un mail d php d toda la vida o es una mala práctica?
para saberlo, pregúntaselo a la gente de sistemas, que para eso están. no hay ningún problema en hacerlo en php, ya que como te dije, no es php quien realmente acaba enviando el correo y el proceso de comunicación entre el intérprete de php y el servidor smtp se hace en local o dentro de la misma red por lo general.
ozke
la gente d sistemas? yo he estudiado sistemas :$ xo no tngo ni foia d si el server smtp q va vinculado al apache o lo q se trate dnd furula php encripa o no al enviar... en cuanto a paypal... creo q el tema dl pago es facil, y un tpv es seguro, el tema iva referido a los datos personales q viajan x la red
kr0n
La gente del departamento de sistemas de tu ISP... los que hayan configurado el servidor SMTP
dagi3d
me refería a la gente que se encargue de administrar la máquina donde esté alojada la aplicación(los del hosting, vaya)
de todas maneras me parece que tienes confusos bastantes conceptos sobre cómo funcionan las aplicaciones web...
ozke
No puedo hablar cn la gente d sistemas q lleva el hosting pq mi pregunta iva referida a n general. Si alguien ha llevado un hosting... q es lo q hace para enviar los datos d compra dl cliente (no hablo d pago).
En cuanto a mis conocimientos sobre como van los servidores web no tngo ni folla, no he tocado nada q se especialice en eso. Pa eso os pregunto y pido sugerencias amablemente :)
En fin, si rulais algun enlace d alguna tienda q hayais montado tb staría majo. Ah, y gracias x la ayuda como siempre ;)
deeleman
ozke
q es lo q hace para enviar los datos d compra dl cliente (no hablo d pago)
SMS slang, uh? Filthy!
Well, let´s going on: Los datos de compra y de pago suelen ser comunicados en un proceso paralelo a la información de cliente que contempla el usuario.
La casuistica dependerá de la pasarela que emplees: TPV Millenium de BBVA, Cyberpac de La Caixa, 4B Passat, CECA TPV, etc...
Pero en todas el funcionamiento suele ser similar: En el momento de la instalación o el alta en entorno de pruebas, el comercio debe comunicar una URL a la pasarela que recibirá la comunicación mediante HTTP POST/GET de la operación, de forma paralela a lo que se muestra en pantalla. Alguans pasarelas te ofrecen un panel de control para definirlo on-line y otras lo tienes que hacer por e-mail.
Así, cuando el usuario pasa a las páginas de la pasarela (cuando el pago no se linealiza desde el cliente web, algo que veo que estas muy verde para implementar dado que ciertamente es delicado), introduce los datos de pago y contempla la página de retorno predefinida, que los bancos te permiten customizar en mayor o (habitualmente) menor medida, por detrás la pasarela envía un POST a la URL que has definido. Con dicho POST se puede actualizar la base de datos, autentificar la operación o lo que tu estimes oportuno en tu servidor. Habitualemtne dicho POST suele incluir, entre otros datos, el ID de la operación que tu has comunicado previamente al enlazar con la pasarela, la cantidad, si la operación es correcta o no, etc.
ozke
El tema era esa parte d noTPV q entra en juego cuando compramos on-line.
Así a bote pronto se me ocurre q tras la confirmación de pago (y redirección de URL correspondiente) se envíe un mail al usuario/gestor d la tienda avisando para q entre a la intranet y desde allí vea el pedido y si lo desea lo imprima. Me parece 100% seguro, o al menos tanto como de de sí la autenticación de la web.
Ahora bien, y si queremos q los datos vayan directamente al gestor d la tienda para q se los imprima dsd su cliente d correo? Es ese proceso el q me ralla. Uso un puto mail d php y nose si es lo correcto. Ya, depende del servidor, pero quería saber si haceis lo mismo o q.
belen_c
"reabro" este tema porque, aunque me lo he leído entero, al no ser informático no me entero de algunas cosas...
Veamos, si yo tengo un formulario que contiene información personal importante (no sólo nombre de usuario y contraseña, vamos) ¿tiene que estar cifrado?...
y por seguir ¿cuánto te puede cobrar más o menos un banco por hacer una pasarela de pago seguro? ¿tiene que tener tu proveedor de alojamiento alguna condición especial, o eso corre de su cuenta?...
Gracias :-)
deeleman
NaYa
Veamos, si yo tengo un formulario que contiene información personal importante (no sólo nombre de usuario y contraseña, vamos) ¿tiene que estar cifrado?...
No existe obligatoriedad de cifrarlo, pero si lo haces, concederás una patina de seguridad a tus usuarios, haciéndoles ver que tomas en cuenta sus necesidades de privacidad de forma seria y rigurosa.
A primera vista puede parecer que unos simples datos postales, por ejemplo, no son excesivamente sensibles, pero para mi por ejemplo sí lo son. Si se que el sitio que me los pide encripta dicha información, los introduciré más gustoso y me llevaré una buena impresión.
NaYa
y por seguir ¿cuánto te puede cobrar más o menos un banco por hacer una pasarela de pago seguro? ¿tiene que tener tu proveedor de alojamiento alguna condición especial, o eso corre de su cuenta?...
Para empezar, un banco nunca te cobrará por hacerte una pasarela d epago, en tanto en cuanto eres tu la que debe adaptar su sitio web a los requerimientos de su interfaz TPV. Un banco es eso, un banco, no un partner tecnológico.
Lo que si te cobrará es una comisión por operación, como si de un TPV normal se tratase. Algunas soluciones alternativas (PayPal, 2CO, Worldpay) pueden cobrarte no sólo uan comisión sino también un fijo por operación y una cuota mensual, pero es otro cantar.
Y en efecto en ocasiones tu proveedor de hosting debe reunir algunas características especiales, como es el caso de las pasarelas de La Caixa o de CECA, que validan als operaciónes en base a una firma digital computada a través de un CGI o un objeto COM+ que debe estar instalado en el servidor.
Esto está desapareciendo paulatinamente, pero si quieres más información, en el blog de nuestra agencia publicamos hace un tiempo una serie de posts sobre los medios de pago en España, con más o menos detalle de los requerimientos de cada una. Échale un vistazo y si te sirve de ayuda, me alegraré mucho.
El enlace:
Introducción a los medios de pago en el comercio electrónico
jakobuslandson
Cualquier cosa que envies por email NO es seguro.
Incluso en el caso de que el servidor use una capa SSL "encima" del SMTP para enviar el correo, esto solo implica que entre servidor y servidor no hay nadie interceptando el mensaje (o cuando menos es razonablemente improbable), pero de todas formas ambos servidores tienen una copia de texto en claro del email.
Si quieres enviar un email de forma segura, vas a tener que usar criptografia de clave asimétrica (PGP esta muy bien y es GPL)