Quand je parlais de Recurly pour mettre en confiance, c'était simplement car une bonne partie de mes clients actuels le connaissent déjà; pour du plus grand public effectivement ça ne leur dira pas grand chose, tout à fait d'accord avec toi. Par contre ce qui peut leur parler c'est d'apporter plus d'infos sur ce que fait le fournisseur que tu utilises au niveau sécurité (qu'il s'agisse d'une banque ou d'une plateforme de gestion de souscriptions).
Dans tous les cas si le développeur est malveillant, c'est fini - et il faut rassurer l'utilisateur avant tout sur ce point... (et faire de notre mieux pour ne pas introduire de failles). Par contre si le développeur est bienveillant, il y a une différence importante entre utiliser une solution comme Recurly.js ou Stripe ou Braintree transparent redirect d'un côté, et une autre solution qui fait transiter les infos de CC par le serveur. Dans le premier cas, le numéro de CC ne transite pas par ton serveur du tout (car il est posté en ajax/ssl directement vers le serveur de ton fournisseur de billing). Et dans ce cas, tu rentres dans le cadre du PCI DSS self-assessment questionnaire A: https://www.pcisecuritystandards.org/documents/pci_saq_a_v2.doc (13 questions, faciles à vérifier) Dans le deuxième cas, le numéro de CC transite par ton infrastructure serveur (que tu le stockes ou pas, que tu le logges ou pas tc), et dans ce cas, tu rentres dans le cadre du PCI DSS self-assessment questionnaire C: https://www.pcisecuritystandards.org/documents/pci_saq_c_v2.doc (nettement plus touffu) Je n'y connais pas grand chose en matière de sécurité. J'imagine que > l'utilisateur ne voit pas la différence entre un formulaire utilisant > Recurly et un autre utilisant ActiveMerchant. S'il n'a pas confiance, il ne > passera pas par là. C'est pour ça que, en général, on propose la solution > du paiement par paypal. > Il y a deux choses: la perception de l'utilisateur d'un côté, et la norme PCI DSS de l'autre; ce sont deux sujets à traiter... > Je n'y connais pas grand chose en matière de sécurité. Moi j'ai un niveau "convenable" en sécurité, et je préfère éviter de faire transiter les infos CC par mes serveurs. Je crois que le fait de marqué un texte, spécifiant qu'aucune donnée sur la > carte n'est conservé, peut favoriser la confiance. > Oui clairement. Si tu fais transiter par ton serveur, veille bien à ce qu'aucune trace ne reste, nulle part... (aucun log, aucun texte d'exception etc!). J'en reste là, je voulais surtout porter à ta connaissance la différence au niveau PCI DSS. Thibaut -- http://www.logeek.fr -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/groups/opt_out .
