Ne pas rediriger les clients sur le site de la banque Options

[Benjamin_VM]

Bonjour à tous, je découvre OsCommerce et suis agréablement surpris pas la qualité du logiciel !
J'aurais une première petite question :

Lors du paiement par CB, serait-il possible de ne pas envoyer le client sur le site de la banque (CIC) mais de lui faire remplir ses coordonnées bancaires directement sur mon site puis de faire le traitement en arrière-plan (de manière à ce que le client ne sache pas dans quelle banque est mon entreprise) ?

J'espère avoir été assez clair.

Merci par avance pour vos réponses.


Cordialement

Ce message a été modifié par Benjamin_VM - 8 Apr 2009, 08:17.

[NoZic]

Bonjour,

Je comprend ce qui motive ta question.

Maintenant, il faut choisir entre avoir des clients et le fait qu'ils connaissent ta banque. Bah oui si aucun client ne commande sur ton site, peu importe dans quelle banque tu es, non ??

Si tu ne mets pas en place un paiement bancaire sécurisé par une banque, c'est ce qui vas t'arriver en fait.
A ta guise...

Perso, il est déjà hors de question que mon numéro de CB circule sur internet, même par un paiement sécurisé d'une banque (bon c'est très personnel comme attitude, hein) alors il est absolument certain que jamais de ma vie je le mettrais sur un site qui traite lui-même mes données bancaires. Et TOUTES les personnes plus ou moins douées de bon sens feront de même.

En plus, à poser des questions comme ça, tu vas passer pour un fraudeur (ou revendeur) de numéro de CB donc personne ne t'aidera ici. Bah oui, la raison que tu évoques est un peu légère pour justifier ce que tu veux faire - qu'est-ce que ça peut faire que tes clients connaissent ta banque ? - en plus si ils veulent te payer par virement dans le futur, ils seront obligés d'avoir ton RIB donc ta banque et en ces temps difficiles, tu ne peux te permettre de refuser à tes clients de te payer par virement, ce qu'ils préfèrent faire dans beaucoup de cas...

Une question comme ça, moi, je pense direct que tu n'aimes faire du CA ou que tu es un fraudeur de CB.

Ce message a été modifié par NoZic - 8 Apr 2009, 10:06.

[Benjamin_VM]

Je me suis peut-être mal exprimé

En fait je suis en stage dans une société qui désire mettre en place un système d'e-commerce pour vendre ses services. J'ai donc mis en place OsCommerce avec une interation avec la banque "classique" (via le module CyberMut). Cependant, mon tuteur m'a dit que cela ferait plus "professionnel" si le client n'était pas redirigé vers le site de la banque mais qu'il reste sur notre site, qu'il entre ses coordonnées bancaires et qu'un script effectue le virement derrière (grâce au module Cybermut ?).

J'espère être assez clair

Merci encore en tout cas !

[sykaflex]

salut Benjamin

Cependant, mon tuteur m'a dit que cela ferait plus "professionnel" si le client n'était pas redirigé vers le site de la banque mais qu'il reste sur notre site, qu'il entre ses coordonnées bancaires et qu'un script effectue le virement derrière (grâce au module Cybermut ?).

ton client à l'air d'etre un petit malin ! qu'a-t-il derrière la tete ! à ta place je lui poserai la question pour ne pas m'embarquer dans un truc bizarre qui engagerait ma responsabilité en tant que webmaster... parce qu'il n' y a pas vraiment de raison pour que le nom de sa banque n'apparaisse pas sur la page paiement, à moins qu'il veuille effectuer le débit en interne sur un TPE, auquel cas.... il faut voir ...

@NoZic : salut, j'abonde dans ton sens, infos claires sur le paiement et efectivement mes clients me paient de plus en plus par virement, surtout clients étrangers, mais faut-il encore que le panier soit assez conséquent. par contre tu me parait un peu parano pour ne jamais donner ton N° de CB en ligne,
tu as plus de chance de te faire braquer ta carte et ta Rollex dans la rue devant un distri que sur le web

bonne journée à tous

ps/

Une question comme ça, moi, je pense direct que tu n'aimes faire du CA ou que tu es un fraudeur de CB.

là ca peche fin, l'ablette à la mouche avec du 8/100 hameçon doré N°22 ! la suite en mp ?

[shoprun]

Cependant, mon tuteur m'a dit que cela ferait plus "professionnel" si le client n'était pas redirigé vers le site de la banque mais qu'il reste sur notre site, qu'il entre ses coordonnées bancaires

Alors rapproche toi du coté de tes profs, demande leur avis, parce que là franchement, les propos de ton tuteurs m'effraies quelques peu

On se tue à dire partout (sur des sites dignes de ce nom) que de récupérer soit même les numéros de cartes bancaires est à éviter à 100% (vois à proscrire), ce n'est pas pour rien.
Ceci dit, beaucoup le font, on le sait très bien, mais ce n'est pas parce que les autres le font que c'est la bonne technique, la bonne pratique.
La seule exception, c'est les grandes/grosses boutiques qui elles ont (surement) leur propre développeurs, qui théoriquement ont les compétences pour le faire.

C'est bien beau de vouloir faire comme eux, encore faut il savoir le faire.
D'ailleurs, ton tuteur à t-il les compétences pour le faire ou superviser ton travail ?

C'est une lourde responsabilité d'une part, et d'autre part peu de e-commerçant ont ces compétences ... ce n'est pas le même métier tout simplement.
Déjà même la mise en ligne d'un site e-commerce est très compliqué, même en partant d'un Soft comme osCommerce, alors pour ce qui est de la récupérations des numéro de CB ???

Récupérer des numéros de CB c'est un jeu d'enfant, ou presque, mais le faire de manière totalement sécurisé (pas juste mettre du SSL) c'est une autre paire de manche.

Donc souscrire via une banque (ou autre PayPal, MoneyBookers, etc ...) ce service c'est se dégager explicitement de cette responsabilité.

[delete]

Un iframe ferait l'affaire à mon sens ...

[shoprun]

mais de lui faire remplir ses coordonnées bancaires directement sur mon site

Un iframe ferait l'affaire à mon sens ...

Toujours cet esprit de contradiction ... m'enfin.

Eframe ou pas eframe, les coordonnées bancaires seront toujours saisies sur le site lui même et renvoyées aussi que je sache ... en claire ...
Allez ... ils vont peut être prévoir su SSL, au moins ça, juste pour rassurer les clients ... un pis allé quoi

Si il avait demandé de placer le site de la banque sur sa boutique, alors là un eframe peut être envisageable, mais ici le client saisira ses coordonnées au niveau de la banque, pas sur la boutique, car le e-frame contiendra le site de la banque.

Mais il me semble avoir lu que certaines banques détectent ce genre de techniques et elles refusent la transaction.
Ceci dit, faut voir ...

[delete]

Toujours cet esprit de contradiction ... m'enfin.

Oui ! Une Frame c'est une frame ... à partir du moment ou le protocole de la banque est sécurisé SSL, il n'y a pas d'informations circulant en clair sur le net. Il faudrait limite un mec en bas de ton immeuble pour capter et décrypter la transaction SSL... vu le temps que ça prends je ne vois pas l'intérêt.

Une iframe (distante) n'est pas hebergée chez toi mais bel et bien chez le distant (la banque ou le tiers de la banque).

Je ne fait que répondre à la question, après c'est un choix stratégique du marchand.



Edit : Précision : Je parle d'une transaction sécurisée pas de collecte de n° de CB bien entendu.

Ce message a été modifié par delete - 8 Apr 2009, 20:52.

[shoprun]

Une iframe (distante) n'est pas hebergée chez toi mais bel et bien chez le distant (la banque ou le tiers de la banque).

Que je sache, une e-frame c'est du HTML pur et dur, c'est tout.
Son code ce trouve dans la boutique et l'URL même distante ne fera que renvoyer un flux HTML du site distant (la banque) vers la boutique. Il y a donc bien des données qui transiteront entre ces 2 domaines.

La dessus, tu n'as fait que dire "mettre une eframe" sans même donner la moindre explication, c'est clair que le stagiaire va pouvoir déduire tous les techniques qui se cachent derrière, de même connaitre tous les avantages et inconvénients de cette technique.

Pour ma part, je reste d'avis de lui conseiller d'adopter une technique simple et éprouvée lui donnant toutes les chances de réussir à installer un mode de paiement CB.
Les paillettes et le feux d'artifice mettant plein la vue du jury qui épluchera son mémoire, ça peut le faire, mais ça peut facilement faire tâche aussi.
M'enfin ...

[delete]

Théorie de l'évolution, l'élève dépasse le maitre. Donc laissons le choisir, il a certainement compulsé activement les posts épinglés de ces forums et tant d'autres ...

On lui demande d'effectuer un Job, qu'à cela ne tienne il l'exécute, son intelligence n'est pas remise en question. Ceci dit ayant pris connaissance des risques, il avertit son patron, tout va pour le mieux.

Les iframes comportent un risque en cas d'utilisation de JavaScript ce qui n'est ** Jamais ** le cas avec les banques.

Document français du CERTA intéressant à consulter http://www.certa.ssi.gouv.fr/site/CERTA-20...08-INF-001.html
qui renvoie vers des liens utiles.

Actuellement il y a certains organismes bancaires qui impose les "iframe" ne serait-ce que pour apposer leur logo ! Donc le système semble être fiable.

[sykaflex]

Hola
muy caliente el topic !!! la sécurisation des transactions bancaires c'est le sujet favori de l'ami Shoprun et il ne faut pas l'énerver la-dessus !
mais ca fait aussi un peu le jeu des fournisseurs de méthodes de paiement qui s'en mettent plein les poches, alimentent la parano et rendent nos clients complétement flippés et ca devient vraiment mauvais pour le e-commerce.

Ceci dit, beaucoup le font, on le sait très bien, mais ce n'est pas parce que les autres le font que c'est la bonne technique, la bonne pratique.
La seule exception, c'est les grandes/grosses boutiques qui elles ont (surement) leur propre développeurs, qui théoriquement ont les compétences pour le faire.

tout compte fait ce n'est pas une mauvaise solution, tu as une petite boutique avec quelques transactions/jour et tu n'intéresses pas les malfaisants, tu as un gros business et tu t'offres les services de spécialistes.

reste plus à Benjamin qu'a faire un résumé des réponses du post et à demander à son boss ce qu'il a derrière la tete, qu'il sache dans quoi il se lance...

[shoprun]

mais ca fait aussi un peu le jeu des fournisseurs de méthodes de paiement qui s'en mettent plein les poches, alimentent la parano et rendent nos clients complétement flippés et ca devient vraiment mauvais pour le e-commerce.

D'accord sur cet aspect, mais quand bien même que la fraude sur les cartes CB finalement représentent peu (toutes techniques frauduleuses confondues) par rapport aux opérations valides, ce n'est pas pour autant qu'il faille faire du n'importe quoi.

Ici, à vrai dire on ne sais pas vraiment ce que veut faire Benjamin (la boite où il fait son stage en faite), mais si c'est juste récupérer et renvoyer les coordonnées bancaires, passe encore, mais si les coordonnées sont stockées quelque part, alors là c'est une tout autre affaire.

Le e-commerce se démocratise de plus en plus, et osCommerce y contribue pas mal, mais quand je vois que osC lui même propose de stocker les coordonnées bancaires dans la BDD et cela en clair, c'est du délire à l'état pur.
Du coup quand Mr Tout Le Monde se met à créer sa propre boutique en ligne, et bien se fiche complètement des risques que cela comporte, on lui donne les moyens de le faire, il le fait sans même se poser la question, il y a que le résultat qui compte.

Ca c'est pas de la parano, c'est la politique de l'autruche associée à de l'incompétence pure, ni plus ni moins.

Franchement, si un organisme, tel qu'il soit, ou pire, des journalistes venant faire une petite enquête sur l'usage et des précautions des données personnelles des e-boutiques, il va avoir un scoop croyez moi, c'est certain.
Bonjours le coup d'pub !!!

Vous direz ce que vous voulez, mais j'y mets d'énormes réserves que quiconque ici sur ce forum peut affirmer que la récupération des coordonnées bancaires ne représentent pas de risque.


Pour ma part, quand on ne sait pas faire, on ne le fait pas, on le fait faire par ceux qui savent le faire et qui vont endosser cette responsabilité, peu importe si ça fait le jeu de ces derniers.
De plus, par principe je reste contre de conseiller sur ce forum des techniques dont on ne maitrise pas complètement, pas pour les N°CB. Si le membre maitrise les techniques, il ne posera pas question.
Donc pour moi il n'est pas question une seconde de récupérer des N°CB et encore moins les stocker.

On lui demande d'effectuer un Job, qu'à cela ne tienne il l'exécute, son intelligence n'est pas remise en question. Ceci dit ayant pris connaissance des risques, il avertit son patron, tout va pour le mieux.

En somme, un stagiaire dans une entreprise d'élagage n'ayant pas le BABA des éléments de sécurité pour monter dans l'arbre avertira le patron comme quoi les règles de sécurités de la profession ne sont pas respectées.
-> le stagiaire monte dans l'arbre sans broncher ... tout va pour le mieux. Ben voyons


La dessus, il n'y pas de souci sur le débat, chacun à parfaitement le droit d'exposer ses idées, et tant mieux qu'elles soient opposées

[sykaflex]

salut Shoprun, toukours aussi matinal !

Le e-commerce se démocratise de plus en plus, et osCommerce y contribue pas mal, mais quand je vois que osC lui même propose de stocker les coordonnées bancaires dans la BDD et cela en clair, c'est du délire à l'état pur.

tout à fait d'accord, il faudrait occulter cette page de demo et éventuellement intégrer un module bancaire de démo à la place genre "crédit de la cigale et de la fourmi" pour ne pas faire de pub, ca ferait plus sérieux, ceci dit ca n'empechera personne de recréer une page avec récup des infos CB en BDD.
bonne journée

[shoprun]

ceci dit ca n'empechera personne de recréer une page avec récup des infos CB en BDD.
bonne journée

C'est bien là le problème ... N'importe qui peu faire n'importe quoi, même faire mumuse avec des cartes bancaires !!!

Délirant tout de même

[nilegoff]

Il y a une autre solution, mais je ne sais si cybermut le propose mais c'est que cybermut stock un template pour la page qu'il affiche.

e transaction le propose partiellement


nilegoff

[delete]

Il y a une autre solution, mais je ne sais si cybermut le propose mais c'est que cybermut stock un template pour la page qu'il affiche.

Le template est valable pour toutes les banques fonctionnant avec ATOS.

Il est potentiellement, aussi, complémentaire avec un iframe.

Mais j'ai l'impression que la maitrise technique de ces usages n'ont pas leur place dans ce topic

[spacemoo]

Salut a tous,
le post est un peu vieux mais j ai une question.
Le module moneybooker est basé sur Curl pour integrer la page MB sur le site marchant.
Est ce securisé comme protocole?
merci d'avance

EDIT: c est bien un iframe qui est dans le module mooneybooker ...

Ce message a été modifié par spacemoo - 13 Nov 2011, 03:35.