Для этого есть отдельные схемы проведения рекуррентных платежей, например, однажды прошедшая успешно транзакция может быть проведена повторно без ввода данных платежной карты, например, по идентификатору транзакции.
Также для них никто соответствия PCI DSS не отменял. Храни, но защищай одним из способов:
* шифрование
* маскирование
* токенизация
* хэширование
В область аудита PCI DSS торгово-сервисного предприятия (мерчанта), который использует мобильное приложение для оплаты картой, входит процесс разработки данного платежного приложения (6 раздел PCI DSS).
Если своей информационной инфраструктуры нет и из мобильного приложения отправляются карточные данные напрямую сертифицированному поставщику услуг эквайринга, то область аудита мерчанта будет ограничена только 6 и 12 разделами PCI DSS.
В зависимости от количества транзакций, обрабатываемых в год, мерчант должен подтвердить соответствие либо через QSA-аудит (если количество транзакций в год более 1 000 000), либо через заполнение листа самооценки (если количество транзакций в год менее 1 000 000).
описанное выше верно, если приложение:
— не хранит карточные данные на мобильном устройстве а только отправляет их сертифицированному поставщику услуг;
— приложение обрабатывает только карты одного держателя карт.
буквоедство, но я думаю, что генератор псевдослучайных чисел не может создать "действительно случайную последовательность". Близкую к этому, скорее, да, может.
Но пишут статьи по оказанию первой помощи… :)
Автору спасибо. А вопрос нужны ли такие студенты или нет — скорее философский. Мне криптография стала интересна как раз после того, как я зачитался математикой. Но любовь к математике мне привили подобные статьи и талантливые преподаватели.
Студент — существо ленивое. Даже чтобы пробудить интерес к чему-либо, его [студента] нужно «пнуть».
«не знаешь криптографии, не занимайся ею.» Нужно было зашифровать это на публичном ключе RSA или на ключе RC4 и отправить автору программы. Так… забавы ради :)
Да, понял, что глупость сказал, но интернет пропал на ноуте, чтоб исправить)
однако стоит заметить, что вектор атаки с подменой все же возможен, хоть и на грани фантастики и никто заморачиваться с этим не будет :)
Многие пользователи мессенджера требуют дать возможность обмениваться открытыми ключами через NFC и QR-коды, чтобы на 100% исключить возможность MITM-атак, в том числе и со стороны сервера Telegram.
Думаю, не секрет, что 100% — слишком громкая оценка вероятности. Считать NFC злоумышленник может и на расстоянии, равно как и QR-код.
Не вселяет уверенности.
А так, все верно. Просто в предыдущем комментарии речь шла именно о PAN.
Также для них никто соответствия PCI DSS не отменял. Храни, но защищай одним из способов:
* шифрование
* маскирование
* токенизация
* хэширование
Если своей информационной инфраструктуры нет и из мобильного приложения отправляются карточные данные напрямую сертифицированному поставщику услуг эквайринга, то область аудита мерчанта будет ограничена только 6 и 12 разделами PCI DSS.
В зависимости от количества транзакций, обрабатываемых в год, мерчант должен подтвердить соответствие либо через QSA-аудит (если количество транзакций в год более 1 000 000), либо через заполнение листа самооценки (если количество транзакций в год менее 1 000 000).
описанное выше верно, если приложение:
— не хранит карточные данные на мобильном устройстве а только отправляет их сертифицированному поставщику услуг;
— приложение обрабатывает только карты одного держателя карт.
Автору спасибо. А вопрос нужны ли такие студенты или нет — скорее философский. Мне криптография стала интересна как раз после того, как я зачитался математикой. Но любовь к математике мне привили подобные статьи и талантливые преподаватели.
Студент — существо ленивое. Даже чтобы пробудить интерес к чему-либо, его [студента] нужно «пнуть».
надо же, живешь, живешь в городе и не знаешь даже о таких сообществах))
Я все же думаю, что G — это порождающий элемент (generate).
теперь придется усложнять =)
однако стоит заметить, что вектор атаки с подменой все же возможен, хоть и на грани фантастики и никто заморачиваться с этим не будет :)
Думаю, не секрет, что 100% — слишком громкая оценка вероятности. Считать NFC злоумышленник может и на расстоянии, равно как и QR-код.
Не вселяет уверенности.