Sicurezza, Carte di credito, email, e dati cifrati

[Erith]

Salve a tutti!
Sto realizzando un sito per un Hotel, e dopo varie peripezie sono riuscito a creare un sitema per gestire le prenotazioni in php stabile e funzionale. Adesso il mio cliente mi chiedeva di realizzare un sistema che senza società di transazione tipo Paypal o BancaSella permettesse di pagare con carta di credito. Non sapendo che fare lui mi viene in contro dicendo chegià da tempo esegue i pagamenti telefonici tramite carta di credito. Mi spiego meglio:
Il cliente da a lui i dati della carta di credito e lui con un terminale fornitogli dalla banca esegue il pagamento. Quindi per lui basterebbe un sistema che con i consensi del cliente gli permetterebbe di accreditarsi il conto della prenotazione. Lui mi dice che potrebbere ad esempio ricevere via email i dati della carta con la liberatoria a prelevare il costo del servizio.
Ma c'è da fidarsi? (non solo per le mail ma anche perchè in albergo molti dipendenti hanno accesso alla mail e quindi...)
Ho pensato quindi di realizzare un sitema che criptasse i dati prima dell'invio della mail che poi lui tramite uno script che gira in locale dovrebbe decriptare.
Che ne pensate? Che iter dovrei seguire? Posso fidarmi del metodo POST ?

[Il_Drugo]

Mi permetto di risponderti nonostante io non sia un esperto in cripting, ne ho mai affrontato un problema del genere.

Vorrei solo avvisarti che ammettendo che i dati in POST non siano intercettabili (e lo sono ), se li da voi per caso qualcuno trova i dati decriptati e li usa per scopi "maligni" i cavoli amari legali sono vostri, in quanto, nel momento in cui il cliente vi invia i dati, siete voi i "custodi" legali.

Non so che conoscenze tu abbia di PHP e di cripting, ma se fossi nei tuoi panni convincerei il titolare ad appoggiarsi a terzi per la transazione. Paghi una percentuale certo, ma ti risparmi l'angoscia di finire in beghe legali non da poco.

[Erith]

E' stata una dura battaglia ma non ha voluto sentire storie.
Ha detto che si assume le responsabilità percui mi devo assolutamente far fare una carta scritta che mi libera da qualsiasi colpa.
Allora, tecnicamente che mi consigliate?

[nabozzz]

Originariamente inviato da Erith
Salve a tutti!
Sto realizzando un sito per un Hotel, e dopo varie peripezie sono riuscito a creare un sitema per gestire le prenotazioni in php stabile e funzionale. Adesso il mio cliente mi chiedeva di realizzare un sistema che senza società di transazione tipo Paypal o BancaSella permettesse di pagare con carta di credito. Non sapendo che fare lui mi viene in contro dicendo chegià da tempo esegue i pagamenti telefonici tramite carta di credito. Mi spiego meglio:
Il cliente da a lui i dati della carta di credito e lui con un terminale fornitogli dalla banca esegue il pagamento.

Ma chi è così co....e da dare i propri dati della carta di credito via telefonica?

[Erith]

Beh tantissime persone... pensa anche alle donazioni telethon etc che vengono fatte telefonicamente con carta di credito...

[*Ray*]

Ma chi e' che pensi che ti mandi i dati della carta di credito via e-mail? Uno scimunito..

[gio-mx]

Ciao, ci sono delle apposite funzioni che criptano i dati (quelle usate per le carte di credito)... cercale non ricordo il nome...

[Erith]

Le conosco...
Una su tutte è md5('$tringa'); anche se è troppo standard e magari di facile decriptaggio...
Che ne dite se invece usassi un javascript di modo che le informazioni non vengano mandate ad un'altra pagina in POST o GET e che quindi la mail sia mandata da un javascript?

[afurly]

Originariamente inviato da Erith
Le conosco...
Una su tutte è md5('$tringa'); anche se è troppo standard e magari di facile decriptaggio...
Che ne dite se invece usassi un javascript di modo che le informazioni non vengano mandate ad un'altra pagina in POST o GET e che quindi la mail sia mandata da un javascript?

Se cripti con md5 il numero di una carta di credito, non potrai mai piu' decriptarlo, essendo un algoritmo one-way.... quindi direi che non e' la strada giusta....

[dreammaster]

Potresti sempre ricorrere a un tuo algoritmo privato,inventartene uno, creare un file .inc sicuro che cripti e un altro che decripti. Quando il dato è stato criptato mandarlo magari mandalo a un database. Una volta che il numero di carta e altri dati sono stati letti, distruggi (proprio distruggi) i dati.