[Sécurité] Sécuriser l'envoi d'un numéro de carte

[Alexino2]

Bonjour,

Je suis en train de réaliser un site pour un hotel, et j'aurais besoin d'un système de réservation dans lequel le client devra rentrer son numéro de carte de crédit sans aucune opération derrière (pas de transaction ni prévlèvement) la vérification de la carte se fera manuellement par l'hotel.

Alors j'aurais aimé savoir de quel moyen "gratuit" je pouvais disposer pour que le client puisse envoyer son numéro de carte et qu'on puisse le recevoir soit par mail / Fax ou bien directement dans notre base de donnée ? Et si les méthodes que vous proposeriez serait fiable et sécurisé ?

NB: j'aimerais trouver une méthode autre que le https:// et le SSL...Car il n'y a pas de transaction.

Merci pour vos réponse.

[psychoBob]

Qu'est ce que c'est que ce truc où on envoit son numéro de carte de crédit par email ?

[Alexino2]

Citation:

Envoyé par psychoBob

Qu'est ce que c'est que ce truc où on envoit son numéro de carte de crédit par email ?

bah c'est un hotel, tu verras qu'il demande souvent un numéro de carte par téléphone, et qu'il ne se gène pas pour prélever une somme avec ce simple numéro si le client n'annule pas et ne vient pas

[psychoBob]

Admettons que ce soit honnête, pour ce qui est de le recevoir il y a tout bêtement la fonction mail() de php ou bien une requête insert pour l'envoyer dans une base de donnée (ou un truc avec les fichiers txt, mais je m'en suis jamais servi).

Mais rien de tout cela ne sera sécurisé, je crains que la seule solution soit ssl justement.
Et si quelqu'un les intercepte, ils risquent d'en faire bien des choses...Que vous devrez sans doute rembourser, dans l'hypothétique espoir d'arrêter ensuite le pirate pour qu'il vous rende à son tour l'argent remboursé aux victimes.

[Maxoo]

un rapide cours :

• https et SSL = Sécurité !!
• tout le reste = pas de sécurité !!
• un mail = aucune sécurité !!

et je parle meme pas d'un fax ou autre ...

Ce que je comprend pas, c'est que tu veux qu'un client donne son numéro de carte sur un truc pas sécurisé (sans SSL) ? vous êtes fou ??

C'est quoi le nom de l'hotel ??

[psychoBob]

Voilà Maxoo résume bien le problème.

comment tu pirates un fax toi Maxoo ?

[Alexino2]

J'ai pris un abo chez OVH 60GP. Apparament, cette abo ne gère pas le https.

D'autre part, j'ai aussi lu sur le net que le https/SSL etait payant... (d'ailleurs je trouve ca révoltant...) et qu'il fallait passer par la banque, et que c'était compliqué etc, et qu'il fallait une verser une somme...

Moi je n'ai pas besoin de passer par une banque ni de faire aucune transaction! Je veux juste récupérer un numéro de carte en toute sécurité et gratuitement...

Existe t il des sociétés ou site qui le permettent ? (meme si payant)

D'autre part le nom de mon hotel c'est Comfort inn, je suis en stage chez eux, et je dois leur faire un site pour valider mon diplome.

Si vous voyez d'autres méthodes pour etre sure que le client prendra sa réservation sinan et que ce n'est pas un guignol ? Je suis ouvert a toute propositions

[psychoBob]

Quelque soit la méthode que tu choisis, si tant est qu'il y en ait plusieurs, il convient de se demander au paravant si elle est en accord avec le droit commerciale . C'est pas le tout de faire des beaux trucs avec son pc, faut aussi inscrire ses petits programmes dans le contexte juridique.

[Maxoo]

Citation:

Envoyé par psychoBob

Voilà Maxoo résume bien le problème.

comment tu pirates un fax toi Maxoo ?

perso je donne pas mon numéro de carte à FTEL par téléphone alors tu vois.

Alexino2, c'est normal que SSL soit payant, c'est pas pour des sites persos !!

Bon pour ton hotel, soit il continue de prendre les numéro de carte par téléphone, soit tu fais une page toute conne tu demande le numéro et ca vous envoie un mail.

apres ton client il arrive sur la page, il voit qu'on lui demande son numéro de carte bancaire et il voit bien que la page est pas sécurisée ... la il se dit : "tiens si je changeais d'hotel..."

Tu comprends ?

[Alexino2]

Citation:

Envoyé par Maxoo

perso je donne pas mon numéro de carte à FTEL par téléphone alors tu vois.

Alexino2, c'est normal que SSL soit payant, c'est pas pour des sites persos !!

Bon pour ton hotel, soit il continue de prendre les numéro de carte par téléphone, soit tu fais une page toute conne tu demande le numéro et ca vous envoie un mail.

apres ton client il arrive sur la page, il voit qu'on lui demande son numéro de carte bancaire et il voit bien que la page est pas sécurisée ... la il se dit : "tiens si je changeais d'hotel..."

Tu comprends ?

bon bah ou est ce que je peux obtenir la petite mention SSL/https pour par cher alors ?

[psychoBob]

Pour des hébergements mutualisés, c'est parfois compris. Chez ovh je crois par exemple, surement chez les autres aussi.

[ePoX]

Citation:

Pour des hébergements mutualisés, c'est parfois compris. Chez ovh je crois par exemple, surement chez les autres aussi.

?? tu est sur de cela ?
Une clef SSL chez verisign coute au minimum 450 euro par an.

http://www.verisign.fr/products-serv...ces/index.html

[psychoBob]

Tiens regardes, peut-être que l'on ne parle pas de la même chose :

http://www.ovh.com/fr/produits/90plan.xml

C'est dans le tableau du milieu "Services inclus" :SSL Mutualisé inclu

[ePoX]

ha oué ok si c'est mutualisé je peut comprendre

[psychoBob]

D'ailleurs vu que je pense l'installer, je me demandais comment ça se passe ensuite si je passe sur un dédié.

[Alexino2]

Citation:

Envoyé par psychoBob

Tiens regardes, peut-être que l'on ne parle pas de la même chose :

http://www.ovh.com/fr/produits/90plan.xml

C'est dans le tableau du milieu "Services inclus" :SSL Mutualisé inclu

arf, j'ai prix le 60GP y'a une semaine et il ne comprend pas le SSL,

Est ce que vous savez si OVH propose un upgrade de forfait vers le 90Plan avec déduction de la différence ?

Merci

[psychoBob]

Je crois qu'ils ont une offre ou le temps qui te restait sur ton dernier hébergement est reporté sur le nouveau que tu achètes.

Mais bon c'est un peu du vent, parce que le trafic augmentant, tous les 6 mois on change d'offre et on court derrière les rallonges sans jamais en bénéficier.

Qui a dit que c'est l'intention qui compte ?

[berceker united]

Citation:

Envoyé par Alexino2

J'ai pris un abo chez OVH 60GP. Apparament, cette abo ne gère pas le https.

D'autre part, j'ai aussi lu sur le net que le https/SSL etait payant... (d'ailleurs je trouve ca révoltant...) et qu'il fallait passer par la banque, et que c'était compliqué etc, et qu'il fallait une verser une somme...

Moi je n'ai pas besoin de passer par une banque ni de faire aucune transaction! Je veux juste récupérer un numéro de carte en toute sécurité et gratuitement...

Existe t il des sociétés ou site qui le permettent ? (meme si payant)

D'autre part le nom de mon hotel c'est Comfort inn, je suis en stage chez eux, et je dois leur faire un site pour valider mon diplome.

Si vous voyez d'autres méthodes pour etre sure que le client prendra sa réservation sinan et que ce n'est pas un guignol ? Je suis ouvert a toute propositions

Moi ce qui me révolte c'est que tu penses que tout doit être gratuit. Un cryptage par SSL nécessite la création d'une clé validé et unique. ne serait ce que ça c'est chere alors si tu dois passer par une banque tu as moin la gestion de la sécurité qui est géréde leur coté de plus le faite que client puisse voir le logo d'une banque qu'il connait est rassurant. Ainsi tu n'ais pas à te préocuper du numéro de la carte. N'oublie pas que si le client porte plainte parce que quelqu'un a récupérer le numéro parce que tu n'as pas sécurisé l'acces il se pourrait que tu sois en partie responsable.
Il est pas toujours d'avoir le beurre, l'argent du beurre et la cremière car la cremiere voudra aussi croquer dans l'argent du beurre

[Alexino2]

Citation:

Envoyé par berceker united

Moi ce qui me révolte c'est que tu penses que tout doit être gratuit. Un cryptage par SSL nécessite la création d'une clé validé et unique. ne serait ce que ça c'est chere alors si tu dois passer par une banque tu as moin la gestion de la sécurité qui est géréde leur coté de plus le faite que client puisse voir le logo d'une banque qu'il connait est rassurant. Ainsi tu n'ais pas à te préocuper du numéro de la carte. N'oublie pas que si le client porte plainte parce que quelqu'un a récupérer le numéro parce que tu n'as pas sécurisé l'acces il se pourrait que tu sois en partie responsable.
Il est pas toujours d'avoir le beurre, l'argent du beurre et la cremière car la cremiere voudra aussi croquer dans l'argent du beurre

je suis d'accord sur ce principe en passant la banque avec son logo il se fait de la pub quand meme....

D'autre part, je suis certain qu'il doit exister d'autre moyen de sécuriser des sites (mais le problème c'est qu'on ne les as pas encore inventés) ...

Tout ça me fait penser un peu à l'histoire de Microsoft et l'arrivée de Linux
Alors pouquoi n'inventerions nous pas un système (autre que le SSL) pour sécurisé nos jolie petit paiement en ligne

[ePoX]

Citation:

Alors pouquoi n'inventerions nous pas un système (autre que le SSL) pour sécurisé nos jolie petit paiement en ligne

Oué.. bien sur Je vais aller réveiller einstein dans sa tombe et puis il vas nous pondre un algorithme mathématique ultra simple, et ultra sécurisé auquel bien sur ABSOLUMENT personne n'ai pensé à ce jour.