De nos jours, il existe de nombreux sites Web piratés avec des informations de connexion volées. Dans de nombreux cas, le site Web indique qu'aucune donnée de carte de crédit et/ou information de paiement n'a été volée.
Pourquoi donc? Ce que je suppose, c'est que la base de données stockant les données de paiement et celle stockant les informations d'identification de l'utilisateur sont séparées l'une de l'autre. Jusqu'ici tout va bien. Mais ce que je ne comprends pas: pourquoi ne devraient-ils pas pouvoir accéder à la base de données stockant les informations de paiement?
Ce dernier est toujours visible/accessible de l'extérieur; En effet, les utilisateurs du site Web peuvent également afficher/ajouter/modifier leurs propres informations de paiement, par exemple s'ils veulent utiliser Paypal/carte de crédit/IBAN. La base de données est donc évidemment accessible depuis le "monde extérieur".
La principale raison en est l'effort de dix ans de l'industrie des cartes de paiement pour limiter l'étendue de ces violations en exigeant que tous ceux qui manipulent les données des cartes de paiement soit (a) se conforment à un ensemble de pratiques de sécurité et (généralement) d'exigences d'audit, ou (b) cesser de gérer les données de carte de paiement elles-mêmes et les déléguer à quelqu'un qui peut mieux gérer cela.
Vous ne devriez pas sous-estimer la deuxième partie - alors que presque tous les sites gèrent leurs propres données de compte d'utilisateur, la grande majorité des sites (en particulier les plus petits) qui acceptent les paiements par carte de crédit --- pas stockent les données de carte de crédit dans de quelque façon que ce soit; s'ils veulent des paiements récurrents sans demander à chaque fois un numéro CC, ils stockent plutôt "juste assez" d'informations pour montrer à l'utilisateur (par exemple un numéro de carte partiel) que cette carte est "mémorisée" plus un jeton émis par leur banque/passerelle/quoi que ce soit qui permet des paiements supplémentaires à partir de cette carte au même marchand - donc ces jetons sont inutiles pour un attaquant.
Bien que ce ne soit pas une preuve à 100% et qu'il existe de nombreux cas où PCI DSS est violé de manière flagrante, cela signifie une réduction significative du nombre d'entreprises vulnérables.
Dans le cas d'une violation de données Yahoo récemment divulguée où des informations sur un compte d'utilisateur de 1 milliard ont été volées, il s'est avéré qu'aucune information de carte de crédit n'a été volée car elle était conservée dans une base de données distincte au format crypté.
La plupart des organisations ont des méthodes rigides et robustes pour stocker les informations de carte de crédit, généralement dans une base de données séparée et cryptées. Cela aide les organisations à protéger les données hautement sensibles contre les violations de données.