Discussion :

[orzabal]

Bonjour,

Je veux enregistrer certaines données bancaires dans ma base de données MYSQL. Afin de sécuriser ces données bancaires, je viens d'installer un serveur SSL sur mon site.

Je voulais savoir si je devais faire un autre cryptage en PHP, ou encore si je dois utiliser des fonctions spéciales en PHP lorsque j'enregistre les informations dans la BDD pour que mes données soient vraiment sécurisées.

Je ne sais pas si j'ai été assez clair donc n'hésitez pas à me poser des questions :-)

merci à vous

RO

[titoumimi]

n'hésites pas à stoquer tout tes mots de passe en MD5 dans la DB, ca coute rien

[orzabal]

Oui c'est ce que je comptais faire de toute façon :-).

Mais en fait sur la theorie, si j'enregistre tel quel le numero de CB dans la BDD, le transfert est-il sécurisé ??

En fait je ne sais pas si le transfert des données vers la BDD est automatiquement sécurisé avec SSL ou s'il faut que j'utilise des fonctions spéciales en PHP pour le SSL

c'est un peu difficile à expliquer mon truc

[Maxoo]

SSL n'a rien a voir avec php, en fait ca fait un https et c'est tout

le transfert est donc sécurisé entre ton poste client et le serveur.

apres entre php et mysql, ca dépend de ton hébergeur, mais il devrait pas y avoir de probleme, car c'est en local.

[orzabal]

Ok je vois ce que tu veux dire.

Merci beaucoup pour cette confirmation

:-)

[Hervé Saladin]

Si ton souci est la sécurité :
- pense a faire attention aux injections sql (regarde sur google si tu ne sais pas ce que c'est).
- ne stocke aucune donnée sensible ou identifiant dans des cookies, utilise plutot les sessions.
- fais bien attention à la gestion des droits au niveau des utilisateurs et de la base de données

évidament, il faut aussi penser à une configuration rigoureuse de ton serveur (le systeme ainsi que TOUS les logiciels qui tournent dessus) et des éléments du réseau (routeurs, firewall etc ...).

Juste un pti truc :

si j'enregistre tel quel le numero de CB dans la BDD

je veux pas dire de betise, mais il me semble que c'est strictement interdit (à verifier aupres de la cnil)

[Maxoo]

tout a fait.

mais ca coute combien de s'enregistrer à la CNIL ?

[Hervé Saladin]

j'en sais rien, mais je crois que c'est pas une question d'inscription ou de déclaration. Pour les n° de CB c'est interdit tout court, point.
Apres, je suppose que les banques et certains organismes doivent avoir des dérogations, mais à mon avis ca ne doit pas s'obtenir facilement. Bref, je suis pas un expert en droit de l'informatique, c'est pour ça que je pense qu'il est plus sage de se renseigner aupres de la cnil.

[orzabal]

Je n'ai pas besoin de cookies (je ne sais même pas si c'est possible avec un htpps de fraire un cookie) et les droits sur les tables sont bien gérés. j'ai également un firewall sur ma machine. Sans être un pro de la sécurité je crois avoir fait le nécessaire de ce côté :-)

Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins. Après une fois qu'on a validé le paiement, les CB sont effacés dans la bdd.

C'est un peu comme quand nos clients nous donnent leur numero de CB par téléphone. On les saisit quelque part et des qu'on a utilisé la CB pour le paiement on doit se "débarasser" du numero de CB. Je pense que c'est pareil dans ce cas là.

Je vais me renseigner quand même la dessus, tu me mets le doute :-)

[Hervé Saladin]

Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins

je suis pas assez compétent (ou peut être trop nul )dans ce domaine pour te dire si tu as ou pas le droit de faire ça.
En revanche, ce que je sais, c'est que pour les paiements en ligne on n'est pas censé enregistrer le n° de cb, même temporairement. Au moment de saisir le n° et de valider le paiement, la transaction se fait directement entre le client et le serveur de la banque de ta boite en https. Ce mécanisme n'est pas visible pour l'utilisateur, et la banque te fournit les outils nécessaire à la bonne integration du module de paiement dans ton appli sous forme d'APIs.

[orzabal]

En fait l'appli que l'on a est assez spéciale et on ne peut pas passer directement par une banque comme pour une boutique en ligne (je passe les datails).

J'ai appelé la CNIL et il est possible de conserver les données bancaires jusqu'à utilisation de celles ci. Il aut toutefois faire une déclaration à La CNIL

http://www.cnil.fr/index.php?id=1357

[Hervé Saladin]

ok, merci pour ces infos, ca peut toujours etre utile a savoir

[orzabal]

Oui :-) Nous on est déjà déclaré à la Cnil donc pas de problème :-)