Quick note on MWG's leak case:

@hieutran Chuẩn, chả có truyện ko thể lưu được, thanh toán xong bên payment gateway sẽ trả về data, lưu hay ko là do dev, ko chả có thằng nào bảo không thể lưu thì cái data đó lúc ghi xuống DB lại ko ghi được cả.

@hungpv payment gateway nào trả về data full thẻ?

@hieutran Tin hay không tùy bạn. Bạn hoàn toàn có thể tự làm 1 trang thanh toán bắt user nhập thẻ vào rồi tự lưu về DB, nhưng quy mô một công ty lớn thì họ hiểu rủi ro lớn tới mức điều đó rất khó có thể xảy ra. Nội chuyện để khách hàng thanh toán thẻ CC chùa trên site của mình với tần suất cao còn bị dọa phạt & cấm giao dịch thẻ tiếp nữa chứ chưa nói tới chuyện làm liều kia

@tungns Mình ko có nói là trả về full thẻ, mình chỉ nói trả về data, và data đó ít hay nhiều còn phụ thuộc vào gateway. Mình chỉ phản biện việc không được lưu thông tin thẻ và không thể lưu thông tin thẻ là 2 vấn đề hoàn toàn khác nhau.
P/s: Còn câu chuyện payment gateway trẻ về full thẻ mình đă gặp và xin phép ko được nói ra vì lý do bảo mật.

@tungns tin hay không tùy bác, thị trường cc chùa rất nhiều đều từ việc exploit các site vừa và nhỏ này mà ra cả, rất ít vụ có thể tấn công trực tiếp thẳng vào payment gateway

@hieutran đang nói ca TGDD nhé bác

@tungns ơ, vẫn đang nói case TGDD cơ mà nhỉ, em đang nói rằng nếu nói TGDD ko có PCI DSS level 1 thì không thể lưu full số thẻ là ko hề có cơ sở để khẳng định nhé

@hieutran chẳng ai nói thế cả. Ý này là bạn tự phịa ra để mang đi tranh luận & hả hê với nó. Giống như việc cãi cùn về việc dev lởm có quyền lưu raw password vào DB mà không bị cấm vậy. Thực tế các công ty như TGDD thì chuyện touch vào thông tin thẻ là chuyện khó có thể xảy ra, vì mọi thứ họ cần đã có bên cổng thanh toán xử lý hết rồi, họ đủ hiểu luật và có chuyên viên bên ngân hàng theo sát, tư vấn thường xuyên để không làm vậy. Bạn có thông tin gì cụ thể thì bàn tiếp, không thì mình dừng ở đây nhé, vì cũng đứng bên ngoài thôi chứ bên trong thế nào thì chịu.

@tungns hỏi thật bác comment khi chưa đọc bài à?

@tungns thôi bác tranh luận với bạn như thế này về việc ai cũng hiểu làm gì em đang được observe 1 case Cybersource review 30% lượng giao dịch nên phải upgrade fraud engine. Bây giờ ecommerce lượng giao dịch bị review giữa hàng vật lý với hàng digital có chênh nhau nhiều ko bác nhỉ?

@hieutran à ừ mình sai rồi hihi mình nhận lỗi nhưng lười quá ko sửa đâu.

@tkm ko bác ạ. Máy POS nếu nó nhả bill ra cho bác nó cũng chỉ nhà xxx xxxx xxxx và 4 số cuối. Bản thân POS thường được cung cấp bởi ngân hàng, và ngân hàng đó cũng đấu nối với NAPAS hoặc các hệ thống ngân hàng khác qua kết nối Ecom. Vậy nên ngân hàng sẽ giữ số thẻ bác, còn máy bản thân POS thì không.
Nhưng maf bên nào cung cấp POS mất dạy thì em cũng ko sure.
Ngoài ra số thẻ của bác có thể bị lưu lại nếu em bán hàng rất xinh nhoẻn miệng cười quẹt thẻ cái roẹt ngang qua ngực.