Paypal - Direct Payment si Recurring Profile

[razvan.p]

Salutare La toata lumea, Nou venit pe melagurile phpromania(dot)net cutoate astea Vreau sa cer si eu ajutorul vostru

O sa incep cu cateva intrebari si anume:

1. A lucrat careva din voi cu paypal -direct payment si recurring Profile?

Ma intereseaza mai mult partea de recurring profile...Am creat un sistem de palti online functional etc..toate bune si frumoase pina la crearea profilului recursiv de plata, aici am dat de o oarecare buba...creez recurring profileul dar printr-o minune el nu functionza si anume cand ajunge la data de facturare nu factureza/extrage banii de pe card-ul utilizatorului, tin sa mentionez ca contul este pe sandbox iar informatiile de pe card sunt dummy
(acelasi informatii cu care fac si direct payment - care functionaza..)

2. Cat de sigur este sa salvez in baza de date informatiile de pe card - bineinteles cu masurile de siguranta - ssl, cryptare 3 nivele

1. AES - 256 bit
2. algoritm de criptare custom(facut cu manuta mea pe un pattern predefinit)
3.algoritm de criptare custom(la fel facut de manuta mea doar ca cripteaza cu un key etc...n-are sens sa dau mai multe detalii)

toate aceste 3 algoritme de criptare credeti ca sunt suficente?

Va Multumesc!

Cu stima, Razvan.P

[Birkoff]

iti raspund doar la 2)
NU SALVA LA TINE INFORMATIILE CE TIN DE CARDURILE CUMPARATORILOR...

nu poti oferi aceeasi garantie pe care o ofera procesatorul de carduri... la tine daca ti se sparge site-ul si iti fura baza de date + codul php e ca si cand ar avea toate acele carduri la dispozitie... si e de ajuns sa te dea un client in judecata ca sa iti inchida firma... (vezi repercusiunile de la sony si alte atacuri similare unde s-au furat informatiile)

ideea e ca daca se afla in lumea underground ca tu ti la tine in bd (chiar si criptate) datele cardurilor o sa ai tone de atacuri pana cand cineva reuseste sa ia acea baza de date... (si chiar daca nu s-ar stii din intamplare tot poate sa o ia, se gaseste mai devreme sau mai tarziu o buba pe la tine)

Eu personal nu inteleg la ce le trebuie magazinelor virtuale sa stocheze la ele in baza de date datele cardurilor clientilor cand asta e treaba procesatorului nu a magazinului... rapoarte si informatii poti face si fara sa ai datele cardurilor...

revenind la problema ta, la punctul 1 eu nu am facut decat tranzactii de forma: memorez id-ul tranzactiei si pretul si il trimit pe cumparator pe site-ul paypal sa faca plata... apoi daca face plata paypal il redirecteaza la mine pe site intr-o pagina anume specificata unde ii multumesc de plata si gata.
in paralel de la paypal primesc confirmarea tranzactiei (trimit ei un id) si asa stiu ca e facuta acea plata si pot livra marfa...

mi sa parut cel mai ok asa, nu am eu grija tranzactiei...

[razvan.p]

Am uitat sa sa precizes ca keyurile de criptare stau pe alte servere care dpdv al securitatii stau foarte bine...+ ma gandesc sa trec si metodele de criptare pe alt server diferit de cele pe care stau keyurile.

Referitor la pct 1. NU pot sa fac asa...mi se cere ca plata sa fie facuta pe site...de acea e toata "harabarbura" asta.

[Birkoff]

plata o poti face pe site folosind api-ul paypal ca daia il si ofera...
poti customiza interfata sa arate cum vrea clientul dar tranzactiile se vor face prin api la paypal...