Поддержка Разное Кража данных во время оплаты?

  • Доброго времени суток,
    начинаю пробовать себе в интернет-коммерции и встал в голове вопрос о безопасности.
    Вот я имею ССЛ сертификат, сайт на ВП последней версии с установленным ВуКомерс.
    Могу я не переживать за пользовательский ввод?
    То есть пользователи будут вбивать номера карт, свои данные и т.д. — должен ли я как-то дополнительно защищать их данные или тут все схвачено самим ВП и ВуКомерс?

    • Тема изменена 3 года, 8 месяцев назад пользователем Yui. Причина: в разное
Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Модератор Yui

    (@fierevere)

    永子

    Интересно, каким местом ваш вопрос относится к WordPress?

    Вы обязаны защищать данные пользователей, и понимания того, что вам тут дает WP, недостаточно.

    К сожалению раз встал такой вопрос у вас, то лично я бы вашему магазину свои данные не доверила, и дело не в том, что «номер карты» вводится обычно не вам, а на странице платежного шлюза, а в том, что ФИО, адрес и прочее тоже является персональными данными и должно защищаться в соответствии с имеющся Федеральным Законом о ПД и подзаконными актами.

    Интересно, каким местом ваш вопрос относится к WordPress?

    Вордпресс дает мне, не разработчику, функционал, который позволяет продавать товар и получать за него оплату.
    Мой вопрос как раз о том — безопасна ли такая сделка от злоумышленников, всяких хакеров и т.д.
    У меня еще нет магазина, я только начинаю, поэтому и навожу справки.
    Кто знает, возможно, владельцы интернет-магазинов повсеместно обращаются к разработчикам и устанавливают дополнительную защиту (имею в виду какой-нибудь код), что гарантирует безопасность.
    Не понимаю, чем вас так, как мне показалось, возмутил мой вопрос. Может, я его плохо сформулировал…
    А акт, на который вы сослались, не регулирует отношения в моей стране, но, как понял, данный закон касается «политики конфиденциальности, не раскрытия третьим лицам и т.д.» — это точно не входит в мой вопрос.

    Модератор Yui

    (@fierevere)

    永子

    В любой стране есть/будут законы регулирующие обработку ПД,
    если же вас интересовала именно «транспортная безопасность» данных,
    то использования SSL на вашем сайте достаточно для того, чтобы они не были перехвачены без применения специальных техник (для чего может потребоваться например подгрузка JS со стороннего ресурса).
    Но это про безопасность и SSL в целом, не про WordPress.

    Я, наверное, в любом случае буду критиковать безопасность, на любом уровне, так что оставим возможность ответов другим участникам форума.

    Модератор Yuri

    (@yube)

    Могу я не переживать за пользовательский ввод?

    Ни в коем случае! Независимо от платформы — WP+WC ли это, Twitter ли — введенные и/или сохраненные пользовательские данные могут быть захвачены злоумышленниками.

    Спасибо всем участникам.
    В рамках темы безопасности, позволю себе задать дополнительный вопрос:
    В репозитории ВП есть плагин платежного шлюза, которому нет альтернативы, его можно установить и пользоваться бесплатно ограниченным функционалом.
    Однако, мне нужен полный функционал, но обновиться в рамках плагина — нельзя, автор по запросу на почту отправляет отдельный архив.
    Как вы оцените такую практику автора? Это ли чем-то аргументированно? Мне нужен этот функционал и я либо куплю его таким образом, либо найму фрилансера.

    • Ответ изменён 3 года, 8 месяцев назад пользователем garetziro.
    Модератор Yui

    (@fierevere)

    永子

    Мы не можем оценивать практики распространения кода вне официальных репозиториев.
    Достаточно многие авторы предлагают расширенную функциональность (расширения) или PRO версии помимо бесплатной версии в репозитории WordPress.org. То, как они это делают — их личное дело.

    Достаточно многие авторы предлагают расширенную функциональность (расширения) или PRO версии помимо бесплатной версии в репозитории WordPress.org.

    1. Правильно ли я понимаю, что когда плагин загружается в оф. репозиторий, то он проходит проверку на наличие вредоносного кода?

    2. И вот еще такой вопрос, понимаю, что, скорее всего, мне придется обращаться к фрилансерам и… Если я проверю купленный код на наличие посторонних внешних ссылок — это ли будет говорить, что ничего не уходит куда-то в другое место? Или такие вещи делаются куда элегантнее?

    Модератор Yui

    (@fierevere)

    永子

    1. да, правила по приемке достаточно жесткие, хотя были случаи изменения кода уже после, особенно после передачи прав на плагин другому автору.
    Обычно такое приводит к удалению плагина из репозитория,
    к сожалению есть еще 10500 иных причин, поэтому сложно сказать почему плагин был удален из репа и безопасно ли его использовать дальше.
    Хотя для платежных шлюзов плагин должен быть поддерживаемым, а лучше еще и официальным, распространяться он может не только через каталог WP, но и через сайт самого мерчанта/шлюза, иметь свою техподдержку.

    2. Будет зависеть от хитростей вашего фрилансера. Если вам нужен платежный плагин для шлюза, то лучше всего задать вопрос в поддержку этого шлюза, возможно у них уже есть готовые решения и вам не придется собирать велосипед убогой отверткой из ИКЕИ, попутно изобретая его части, которые вам не прислали.

    2. Будет зависеть от хитростей вашего фрилансера. Если вам нужен платежный плагин для шлюза, то лучше всего задать вопрос в поддержку этого шлюза, возможно у них уже есть готовые решения и вам не придется собирать велосипед убогой отверткой из ИКЕИ, попутно изобретая его части, которые вам не прислали.

    Да, полностью с вами согласен…
    И я связывался с тех поддержкой шлюза, но у них есть плагины для всех ЦМС, кроме ВП.

Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Тема «Кража данных во время оплаты?» закрыта для новых ответов.