Как быть с безопасностью при приеме платежей на внутреннем счете сайта?

Добрый день.
Есть магазин. Сейчас задумались сделать внутренний счет пользователям, чтобы они могли зачислять на счет деньги и могли с него оплачивать купленные на сайте товары.
Как быть с безопасностью? Например как вовремя отследить попытку взлома личного счета, чтобы хакер не успел купить товары на сайте(в случае успешного взлома)?
  • Вопрос задан
  • 2488 просмотров
Пригласить эксперта
Ответы на вопрос 2
Как быть с безопасностью? Например как вовремя отследить попытку взлома личного счета, чтобы хакер не успел купить товары на сайте(в случае успешного взлома)?


1. Есть ли возможность вывода денег из системы? Если да, то на какие платежные системы? Если нет, то какой смысл куллхацкеру ломать чей-то аккаунт? Тем не менее, у steam аналогичный сервис, деньги выводить нельзя, изучайте.

2. Товары цифровые или материальные?

3. С помощью личного счета можно совершать покупки только в вашем магазине? Если нет, то учитывайте, что вы становитесь платежной системой.

Есть магазин. Сейчас задумались сделать внутренний счет пользователям, чтобы они могли зачислять на счет деньги и могли с него оплачивать купленные на сайте товары.

Не сочтите за грубость, но, честно говоря, идея бредовая, себе же усложняете жизнь совершенно ненужным клиентам функционалом.

p.s.
Если уж очень хочется, то используйте SMS OTP для авторизации заказов с личного счета.
1. Клиент оформил заказ в ИМ с внутреннего кошелька.
2. На телефон клиента приходит СМС "Вы оформили заказ на сумму, чтобы подтвердить введите код, присланный в СМС"

Не забудьте, что вам необходимо также контролировать изменение тел. номера. Н.п., чтобы подтвердить изменения тел. номера в аккаунте, необходимо подтвердить это действие через почту (приходит mail "подтвердите изменение тел. номера").
А так да, дурацкая у вас идея :)
Ответ написан
nmk2002
@nmk2002
работаю в ИБ
Отследить попытку взлома можно следующим образом. Во-первых, настройте двухфакторную аутентификацию. Во-вторых, контролируйте неудачные попытки входа. Сервера аутентификации поддерживают функционал блокировки аккаунта при нескольких неудачных попытках входа.
В качестве двухфакторки в вашем случае рекомендую OTP (OATH HOTP, TOTP) в выдачей аппаратных токенов, либо приложение на смартфоне, либо по СМС.

Можете требовать подтверждения покупки по телефону пользователя или про email. Говоря проще, используйте второй канал для подтверждения заказа. Тогда компрометация аккаунта не позволит потратить средства клиента.

Можно еще снимать fingerprint печати на клавиатуре пользователей при регистрации, а потом проверять соответствие. Это тоже по сути аутентификация.

Ну и проверять по IP место откуда зашел пользователь не лишнее. Если пользователь живет в г. Саратов, и вдруг покупает софт на все деньги находясь в Зимбабве, то смело приостанавливаете заказ и производите дополнительную проверку.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы