Re: Carta di credito in chiaro??

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2002 ml@sikurezza.org
Soggetto: Re: Carta di credito in chiaro??
Mittente: Stefano Masiero
Data: 19 Dec 2002 12:44:04 -0000

Ciao Silver,
non ho capito bene la storia del form inviato via mail dall'account
dell'utente(?).

Comunque sconsiglierei vivamente una tale soluzione (a meno che il cliente
sia una banca) spiegando che:
- non esiste un confine tra la soluzione tranquilla e quella disastrosa;
eventualmente, una volta progettato e implementato il sistema, si può
tracciare un confine sui rischi cui si incorre, di conseguenza farsi fare
qualche preventivo da società assicurative;
- riflettere bene sulle implicazioni commerciali nel caso in cui anche una o
più carte venissero usate per scopi illeciti;
- ricordarsi che la sicurezza non è solo esterna (firewall, ids,
crittografia, ...) e che tante carte di credito possono far gola a molte
persone; concludendo: a chi dai la gestione di un database del genere?;
- la sicurezza (da garantire sempre ma in questo caso con misure ancora più
stringenti) va mantenuta costante per l'intero ciclo di vita del prodotto,
incidendo notevolmente sulle spese di gestione e manutenzione (se è
possibile, è utile fare dei bilanci ad hoc per valutare attentamente il
rapporto "totale ricavi / totale costi");

Al cliente:
- si devono esporre chiaramente i precedenti punti;
- si deve predisporre un preventivo dei costi aggiuntivi ai quali va
incontro optando per una tale soluzione;
- si deve dare una proposta alternativa a lui favorevole (sia dal punto di
vista tecnico che commerciale), perchè no, anche prendendo spunto da realtà
già esistenti.

In conclusione, se il cliente non accetta alternative e ti impone di
realizzare la soluzione iniziale valuta attentamente se accettare il lavoro.

Bye,
Stefano




----- Original Message -----
From: "SiLVeR" <silver2@email.it>
To: <ml@sikurezza.org>
Sent: Wednesday, December 18, 2002 1:34 AM
Subject: Carta di credito in chiaro??


Ciao a tutti,

ho una breve domanda a cavallo forse più legale che tecnica. Un committente
ha chiesto all'azienda presso la quale lavoro di creare un form che invia
una mail (dall'account dell'utente) tramite il quale potenziali clienti
possono comunicare i loro numeri di carta di credito all'azienda stessa.
Oltretutto vorrebbe salvare i suddetti su un DB.

La cosa mi sembra oscenamente insicura, vorrei solo sapere se è anche
illegale e quale legge va a violare esattamente. Ho spulciato nell'archivio
e sono andato a cercare il dpr 318 e la legge 675, ma sarebbe davvero utile
avere un parere da un esperto.

Ultimo punto, qual'è la soluzione minima per dormire tranquilli?

Grazie mille,

Marco


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Carta di credito in chiaro??, SiLVeR

Data:
- precedente: Cambio pwd BIOS da WINxx, gmarcods
- successivo: protocollo opennnap e UDP, Gianni79 <gianni79@xxxxxxxxxxx>
- indice

Argomento:
- precedente: Re: Carta di credito in chiaro??, Tullio Andreatta
- successivo: RE: pix e isa, j0mb
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005