Método de pagamento: cartao - qual a melhor opçao?

[JoaoGusmao 2]

ae galera, o títuli já duz tudo...

[João Batista Neto 448]

ae galera, o títuli já duz tudo...

 

Na verdade, não diz muito, não existe uma "melhor opção", existe uma opção adequada para o negócio e, nesse caso, o título não diz nada sobre onde você pretende utilizar.

[JoaoGusmao 2]

certo. vou melhorar: tenho um sistema de compras e entregas online. Até agora só tem pagamento com dinheiro. o tempo máximo entre o pedido e a entrega deve ser aproximadamente 50 minutos, pois trata-se de pizzas. pensei em capturar os dados, e por Segurança, criptografar os dados ao meu modo, que só eu saberia retornar...

[ESerra 744]

Não precisa de toda essa gambiarra, basta integrar a cielo ou o komerci, eles já tem opções que resolvem o teu problema.

[João Batista Neto 448]

Nesse caso, acredito que a melhor solução é utilizar um gateway, pois a aprovação (ou não) é mais rápida. Capturar os dados na sua loja pode ser bem caro, existe uma série de questões relacionadas a segurança que seu sistema deve oferecer (e não é apenas criptografia).

 

Cielo pode ser uma opção.

Outra opção (não é gateway) é o PayPal. Já vi casos de uso semelhantes ao seu com PayPal.

 

Não precisa de toda essa gambiarra

 

"gambiarra" onde?

 

Se estiver conforme PCI, coletar os dados do cliente dentro da loja não é gambiarra.

[ESerra 744]

"gambiarra" onde?

 

Se estiver conforme PCI, coletar os dados do cliente dentro da loja não é gambiarra.

 

É só ler a frase:

pensei em capturar os dados, e por Segurança, criptografar os dados ao meu modo, que só eu saberia retornar

 

É mais simples comprar um certificado e fazer a transação sob este certificado, mesmo porque se ele for incorporar a cielo ou komerci eles vão exigir isto (se a operação for no site dele).

[JoaoGusmao 2]

Como funciona os certificados? como faço para ter?

[João Batista Neto 448]

criptografar os dados ao meu modo,

 

Certo, compreendi o que você disse sobre "gambiarra"

 

É mais simples comprar um certificado e fazer a transação sob este certificado, mesmo porque se ele for incorporar a cielo ou komerci eles vão exigir isto (se a operação for no site dele).

 

Sim, o certificado digital é apenas 1 das exigências, para se coletar e armazenar os dados do cartão diretamente na loja, toda a PCI DSS deve ser seguida :seta: https://www.pcisecuritystandards.org/security_standards/index.php

 

Como funciona os certificados? como faço para ter?

 

Você compra o certificado e depois instala no seu servidor.

 

Eu costumo utilizar GoDaddy :seta: http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=8979

Ou Certisign :seta: http://www.certisign.com.br/

 

Mas existem vários outros fornecedores.

[JoaoGusmao 2]

mas... preciso dar uma segurança para dar ao usuário, para que ele possa colocar seus dados... O que o certificado muda em termos de segurança no servidor? essa pode ser uma Alternatia segura Para serviços como pagseguro?

[João Batista Neto 448]

Com um certificado digital, trafegando com SSL ou TLS, todos os dados enviados do client para o server e do server para o client, serão criptografados, ou seja, serão extremamente difíceis de serem utilizados, caso interceptados.

 

Porém, quando a informação chegar no servidor e você for gravá-la em algum lugar, ela também precisará ser armazenada com segurança, então de nada adianta ter um certificado para transporte instalado, se você armazenar os dados do cliente de forma insegura. Exatamente por isso que a PCI Security Standards Concil especifica uma série de definições para transporte, armazenamento e acesso chamado Data Security Standards.

 

No caso do Pagseguro, como você perceberá, o cliente será direcionado para um ambiente seguro, ou seja, eles possuem um certificado e seguem a PCI DSS.

[JoaoGusmao 2]

pensei em criptografar em md5, porém seria quase impossível le-los, por isso pensei em fazer uma "gambiarra" porém, seguro, como inverter, fragmentar o dado, embaralhar os fragmentos.... e umas coisas a mais. Desta forma, somente quem ler o php saberá voltar os dados.... isso já serve?

[João Batista Neto 448]

pensei em criptografar em md5, porém seria quase impossível le-los, por isso pensei em fazer uma "gambiarra" porém, seguro, como inverter, fragmentar o dado, embaralhar os fragmentos.... e umas coisas a mais.

 

É exatamente isso que o ESerra disse sobre gambiarra, e ele estava correto.

 

uma "gambiarra" porém, seguro,

 

Acredite, isso não é seguro.

 

Desta forma, somente quem ler o php saberá voltar os dados.... isso já serve?

 

Não, definitivamente não serve. Procure trabalhar com AES ou DES:

 

Em PHP :seta: http://php.net/manua...ction.crypt.php

Em MySQL :seta: http://dev.mysql.com...-functions.html

[JoaoGusmao 2]

e usado essa função, como faz para reverter a criptografaçao?

[João Batista Neto 448]

e usado essa função, como faz para reverter a criptografaçao

 

Nos links que passei existem as documentações de tudo o que você vai precisar.

[JoaoGusmao 2]

E isso pode garantir segurança nos dados? caso alguém venha a envadir meu site, ele consegueria descriptografar?

[João Batista Neto 448]

E isso pode garantir segurança nos dados?

 

Não existe garantia de segurança, vários fatores estão envolvidos, inclusive em relação a criação da chave. Mas se servir de referência, AES é utilizado pelo governo norte americano. :seta: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

 

caso alguém venha a envadir meu site, ele consegueria descriptografar?

 

Bom, se tiver tido cuidado com a geração da chave, pode ter certeza que seria muito difícil tal façanha.

[JoaoGusmao 2]

Obrigado, Joao. vou tentar fazer isto. há alguma diferença no http e https em relaçao ao funcionamento do site? E, qual o preço médio do certificado?

[João Batista Neto 448]

há alguma diferença no http e https em relaçao ao funcionamento do site?

 

Você terá que tomar cuidado com arquivos estáticos como CSS, Javascript, imagens, etc. Se você utiliza caminhos absolutos, será necessário ajustá-los quando estiver em https.

 

E, qual o preço médio do certificado?

 

Não vou discutir preço aqui pois isso depende do fornecedor do certificado, e preços mudam. Esse tópico, por outro lado, ficará disponível para todos, indefinidamente, ou seja, daqui X tempo alguém poderá estar lendo esse tópico e ver um preço que não refletirá a realidade.

 

Veja a Goodady, eles tem excelentes preços.

 

;)

[rfps888 7]

Olá pessoal,

 

se a intenção é utilizar apenas para pagamento com cartão de crédito então nem vale a pena procurar por gateways e outros serviços pagos, o melhor é mesmo o paypal que oferece todas as ferramentas e segurança para o serviço.

[João Batista Neto 448]

se a intenção é utilizar apenas para pagamento com cartão de crédito

 

Pagamento com cartão de crédito para uma pizzaria, onde o tempo entre o pedido e a entrega da pizza não pode ultrapassar 50 minutos.

 

o melhor é mesmo o paypal que oferece todas as ferramentas e segurança para o serviço.

 

Sim, PayPal é fantástico e simples de se implementar, e como eu disse em algum post acima, já vi casos de uso como do JoaoGusmao utilizando PayPal.