Forum » Izdelava spletišč » Varovanje osebnih podatkov!
Varovanje osebnih podatkov!
dëych ::
Torej, delam spletno trgovino in sedaj je problem. Potrebujem neko stvar s katero bom varoval podatke uporabnikov, ki nakupujejo (ime, priimek, št. kartice itd...). Gledal sem neki na http://www.verisign.co.uk/, vendar je moje znanje o teh stvareh bolj na nuli. Zato bi prosil Vas, da mi mal razložite kako in kaj je s to zadevo. Upam, da je imel že kdo podoben primer. Najlepša hvala.
Lep pozdrav
dean
Lep pozdrav
dean
jype ::
heatsink: ce se ne spoznas na varnost, potem bo bolj tezko. Najami koga, ki o tem ve veliko.
Najbolje je, ce podatkov o karticah sploh ne shranis nikamor.
Ce jih moras shranjevat, potem se splaca razmislit o racunalniku, ki ni prikljucen v omrezje in ima podatke shranjene na kriptiranem datotecnem sistemu. Vsak konec delavnika lahko nekdo vzame kasetko iz streznika s spletno trgovino in jo vstavi v ta offline racunalnik, potem pa jo zjutraj nese nazaj.
Ce mislis, da si sposoben varovati streznik, kjer tece aplikacija, potem seveda pazi, kaj programiras:
- nikoli ne zaupaj nobenemu vhodnemu podatku, podatkom iz html formov, piskotkom ali cemurkoli kar pride od uporabnikovega brskalnika, ker se vse da manipulirat.
- zelo pazi, kaj dajes v SQL poizvedbe, ce je le mozno uporabljaj escape funkcijo od baze, da ti pravilno escapa vse sumljive znake (narekovaje, podpicja in druge potencialno nevarne znake).
- uporabniku ponudi moznost, da se odjavi in pri tem unici lokalno kopijo njegove seje da tudi ce piskotek kasneje spet uporabi ga dejansko ne mores povezati z nobenim osebnim podatkom.
- v vsakem primeru vedno uporabljaj HTTPS in spletni streznik konfiguriraj tako, da vrne napako (403 forbidden, recimo), ce uporabnik do strani poskusa dostopat preko HTTP.
- pazi na firewall, vse naj bo prepovedano, potem pa dovoli le tisto, kar je nujno za delovanje: vrata 80 (http) in 443 (https) za cel svet, mogoce SSH iz tvojega IP naslova, ce imas staticnega, sicer naj bo raje zaprt.
- redno namescaj varnostne popravke, najbolje z orodjem ki to pocne avtomatsko
Najbolje je, ce podatkov o karticah sploh ne shranis nikamor.
Ce jih moras shranjevat, potem se splaca razmislit o racunalniku, ki ni prikljucen v omrezje in ima podatke shranjene na kriptiranem datotecnem sistemu. Vsak konec delavnika lahko nekdo vzame kasetko iz streznika s spletno trgovino in jo vstavi v ta offline racunalnik, potem pa jo zjutraj nese nazaj.
Ce mislis, da si sposoben varovati streznik, kjer tece aplikacija, potem seveda pazi, kaj programiras:
- nikoli ne zaupaj nobenemu vhodnemu podatku, podatkom iz html formov, piskotkom ali cemurkoli kar pride od uporabnikovega brskalnika, ker se vse da manipulirat.
- zelo pazi, kaj dajes v SQL poizvedbe, ce je le mozno uporabljaj escape funkcijo od baze, da ti pravilno escapa vse sumljive znake (narekovaje, podpicja in druge potencialno nevarne znake).
- uporabniku ponudi moznost, da se odjavi in pri tem unici lokalno kopijo njegove seje da tudi ce piskotek kasneje spet uporabi ga dejansko ne mores povezati z nobenim osebnim podatkom.
- v vsakem primeru vedno uporabljaj HTTPS in spletni streznik konfiguriraj tako, da vrne napako (403 forbidden, recimo), ce uporabnik do strani poskusa dostopat preko HTTP.
- pazi na firewall, vse naj bo prepovedano, potem pa dovoli le tisto, kar je nujno za delovanje: vrata 80 (http) in 443 (https) za cel svet, mogoce SSH iz tvojega IP naslova, ce imas staticnega, sicer naj bo raje zaprt.
- redno namescaj varnostne popravke, najbolje z orodjem ki to pocne avtomatsko
dëych ::
Najprej hvala za odgovor.
Tisto s kartico sem se zmotu. Na spletni trgovini jo nikjer ne zahteva. Torej uporabnikov ni potrebno vpisat nobene številke kartice. Izpolnit morajo samo osnovne stvari (ime, priimek, naslov). Eno podjetje se je prjavlo na spletno tekmovanje - netko. In tam je zahteva, da so podatki v e-trgovini varovani. In ker tega ni, morm poiskat neko rešitev
Na koga naj se obrnem? Ne vem kje naj iščem. Stran je pa na siol-ovem strežniku.
Lp
Tisto s kartico sem se zmotu. Na spletni trgovini jo nikjer ne zahteva. Torej uporabnikov ni potrebno vpisat nobene številke kartice. Izpolnit morajo samo osnovne stvari (ime, priimek, naslov). Eno podjetje se je prjavlo na spletno tekmovanje - netko. In tam je zahteva, da so podatki v e-trgovini varovani. In ker tega ni, morm poiskat neko rešitev
Na koga naj se obrnem? Ne vem kje naj iščem. Stran je pa na siol-ovem strežniku.
Lp
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ali je datum rojstva osebni podatek? (strani: 1 2 )Oddelek: Loža | 10132 (8543) | St235 |
» | Mejli, spam,... od kje emailOddelek: Loža | 12123 (8579) | japol |
» | Piškotki - kako je to mogočeOddelek: Programiranje | 2508 (2071) | DeeJay |
» | Posiljanje osebnih podatkov (imena, priimki, naslov, rojstni podatki, mobitel št., ..Oddelek: Informacijska varnost | 6178 (5196) | poweroff |