Hackere: Jo, vi har 2,2 mio. Playstation-brugeres kreditkort-oplysninger

Hjælp mig lige til at forstå, hvorfor det overhovedet er nødvendigt for Sony at opbevare folks kreditkortoplysninger? - Jeg er med på at PSN er et abonnement, men jeg forestillede mig egentlig at kreditkortsystemet muliggører sådanne abonnementer mellem en kunde og en leverandør, hvor kreditkortet kun er nødvendigt ifbm med tegningen af abonnementet?

Idéen er at du kan lave en masse køb af spil og tilbehør til spil uden at hive kreditkortet frem hele tiden. Det er en del af forretningsmodellen at folk hurtigt kan bruge alle deres penge i små rater :)

Det er jo heller ikke det eneste sted, hvor opbevaring af kortoplysninger finder sted. Et andet eksempel er Apple, hvor man kan købe musik og apps kun ved at angive koden til sit Apple-ID. Det er smart ikke at skulle hive sit kort frem hver gang, og indtaste alle oplysningerne hver gang man vil bruge 6/8/10 kroner. Samtidig fordrer det dog også, at virksomheden holder en streng sikkerhedspolitik omkring de data de opbevarer.

Jeg vil opfordre folk med PS3 til at holde et vågent øje med den konto der er tilknyttet deres kort, og eventuelt bestille nye kort ved deres bank.

Nej, det er ikke nødvendigt at gemme kortnummer. Mange betalingsgateways har løsninger til dette. Brugte selv dette for mange år siden:

http://www.dibs.dk/produkter/dibs-internet/tilvalg/abonnementsservice/

Jo, jeg er med på at det er fordi at man vil undgå at indtaste kortdata hver gang man små-shopper - men jeg forestillede mig bare, at der f.eks ved indgåelse af aftalen og indtastning af kortdata, blev genereret en slags "nøgle" af visa/whatever, som kun sony kunne bruge til træk af småbeløb - og som en hacker ikke vil ha' glæde af at stjæle overhovedet, også fordi at aftalen eller "nøglen" ugyldiggøres? Lidt alá en pbs aftale. Der er sikkert et smart ord for det princip.

At opbevare selve kortdata lyder da ikke specielt klogt. Gør danske netbutikker også det?

Lidt alá en pbs aftale. Der er sikkert et smart ord for det princip.

Det er også sådan det fungerer i Danmark. Du skal have en tillægsaftale om abonnementsbetalinger til din indløsningsaftale. Så kan du hæve på kundens kort, som du lyster - uden at du selv som butik skal gemme kortdata, og dermed PCI-certificeres.

At opbevare selve kortdata lyder da ikke specielt klogt. Gør danske netbutikker også det?

Ikke ret mange.

Nej, det er ikke nødvendigt at gemme kortnummer. Mange betalingsgateways har løsninger til dette.

Med det antal kunder Sony PSN har, har de nok deres egen betalingsgateway...

Idéen er at du kan lave en masse køb af spil og tilbehør til spil uden at hive kreditkortet frem hele tiden. Det er en del af forretningsmodellen at folk hurtigt kan bruge alle deres penge i små rater :)

Steam gør det også, men her kan man frit vælge om kortoplysningerne skal gemmes eller ej, når man er ved at indtaste dem.

Hos en betalingsgateway tilbyder man løsninger hvor slutkunden indtaster kortnummer direkte i et vindue. Herefter gemmes kortdata sikkert hos udbyderen, fremaderette referes til et ID fra butikkens side når der skal trækkes penge på kundens kort.

Men i dette tilfælde vil jeg tro at Sony selv er det der hedder PCI DSS certificeret af VISA og Mastercard og derfor godt må opbevare kortdata selv, de er så underlagt nøjagtigt samme krav som der findes til en betalingsgateway.

På denne side findes herundover information om hvad en betalingsløsning er og hvilke led der findes i en betaling, det giver et ok overblik over kortdatas vej igennem systemet, selv om den er skrevet til et andet brug. (se billedet)