- Home
- Categorie
- Impresa, Fisco e Leggi
- Leggi per le Professioni Web
- carta di credito a garanzia.... help!
-
carta di credito a garanzia.... help!
Ciao a tutti,
spero sia il topic giusto...
sto lavorando ad un portale di prenotazioni turistiche ed utilizzo mysql su di un server virtuale...
come sistema di pagamento, vorrei utilizzare la carta di credito a garanzia (l'utente lascia i dati relativi la carta di credito come garanzia, ma il pagamento vero e proprio avverrà in hotel.. se l'utente non si presenta, gli verrà addebitata una notte sulla carta di credito)il mio dubbio è relativo il memorizzare i dati della carta.. naturalmente il passaggio dei dati avverrebbe in https..
in che modo fareste??
dite che è legale memorizzare questi dati? posso verificare on-line se la carta esiste davvero?Mi date qualche dritta?
-
Ciao henry78,
da un punto di vista tecnico credo sia tutto molto semplice, se il tuo problema è unicamente legale forse è meglio spostare il thread in Leggi sul web...Personalmente, ma non ho forti conoscenze in proposito, credo che per la legge sulla tutela dei dati personali tu debba semplicemente dichiarare in modo esplicito chi è il titolare del trattamento dei dati personali. E' solo un parere da inesperto che necessita di ulteriore verifiche!
I rischi ovviamente possono essere molti: ad esempio il tuo non è un server dedicato e se il dato transita nelle variabili di sessione potrebbe essere intercettato da un altro utente del server.
Il consiglio che ti posso dare è quello di trovare una soluzione alternativa. In assenza di alternative riduci al massimo il tempo di permanenza del dato nel db, non memorizzarlo nelle variabili di sessione, utilizza solo connessioni protette e studia la possibilità di non memorizzarlo su server ma di farlo recapitare solo via email (con connessione protetta). Camuffalo in mezzo ad altri dati (non utilizzare il record *carte do credito *ma piuttosto usa un record con un nome diverso) e memorizza il dato in crittografia md5.
In particolare se stai realizzando il sito su commissione sensibilizza il committente sui rischi che lui corre... (come a dire il posteriore è il tuo... :D)
Facci sapere se vuoi anche un parere tecnico-legale che ti sposto nella sezione ad hoc!
-
Ciao ceccus e grazie per la risposta.
I dati della carta, - transiteranno in https - non saranno memorizzati in sessione - cercherò di "criptare" i nomi dei campi..
Visto che i dati saranno a garanzia della prenotazione effettuata, una volta che l'utente si presenterà nella struttura ricettiva, potrò procedere alla cancellazione manuale dei records..
Inoltre pensavo di non mostrare all'albergatore il numero completo della carta ma solo i primi 12 numeri (gli altri solo nel caso il Cliente non si presenti)
a grandi linee volevo agire così..
un dubbio... se cripto i numeri della carta con MD5.. in che modo li posso poi rendere leggibili??? (credo non si possa fare...) :bho:
PS (Sicuramente mi interessa anche un parere di tipo legale)
-
un dubbio... se cripto i numeri della carta con MD5.. in che modo li posso poi rendere leggibili??? (credo non si possa fare...) :bho:
Niente, scusa... quando si entra nel dettaglio si perde il senso globale del discorso...
ovviamente non si può tornare indietro!Ti sposto in Leggi sul Web, così vediamo se dei pareri legali possono darci qualche indicazione in più...