paypal如何保护客户数据业务合作伙伴?

时间:2011-02-22 19:51:15

标签: web-services security websphere soa ws-security

如果paypal的商业合作伙伴在其网站上使用paypal的网络服务。如果网络服务要求其客户的用户名和密码,paypal如何保护客户数据从那里商业伙伴?如何在客户之间进行肥皂交易,贝宝和它的业务人员?

1 个答案:

答案 0 :(得分:1)

看来你问的是两件不同的东西?但是我想尝试回答它们。


问题1

如果我理解你的话,你的第一个问题就是询问PayPal如何为“商业伙伴”提供保护,而我,就像PayPal一样,我更多地称之为“商家”。

您提到“业务伙伴”收集的用户名和密码,因此我将首先解决该问题。通常,用户名和密码仅由收集它们的站点保护。通常,站点将具有与用于PayPal的登录和会话分开的登录和会话。因此,即使该网站使用PayPal,该网站也可能不会使用PayPal来保护登录其自己网站的帐户凭据。

如果网站正在使用PayPal并且提示客户/用户登录其PayPal帐户进行付款,则只应将凭据发送到PayPal网站(您可以在表单操作中查找paypal.com [查看来源])。通常,客户只能通过PayPal服务的页面上的表单登录PayPal(paypal.com在网址中)。我会怀疑任何提示用户登录其url域中没有paypal.com的PayPal帐户的页面。即使eBay现在与PayPal拥有相同的所有权,也会让eBay用户在通过paypal.com提供的页面上输入他们的PayPal帐户凭据。

使用PayPal实现付款处理有多种方法。商家通常以使客户仅将信用卡信息输入PayPal服务器的方式实施PayPal支付处理。这是PayPal可以保护客户免受业务合作伙伴/商家侵害的方式之一。当PayPal收集客户的信用卡信息时,PayPal不会与商家共享信用卡信息。商家只会收到了解付款/交易状态所需的详细信息。

PayPal还为客户提供另一种保护。它被称为“购买保护”(以前称为“买方保护”),它基本上是保证,政策,网络应用程序,组织等的组合,旨在确保买方获得他们为商家支付的费用。

此外,我想补充一点:许多商家认为信用卡信息是一种责任。有些人可能会收集它以便为用户提供处理未来付款而无需重新进入的能力,但许多人根本不会存储信用卡信息以避免责任。您绝不应以未加密的方式发送您的信用卡信息。您可以通过查看收集信用卡信息的表单的表单操作来检查您的信用卡信息是否会被加密发送。如果您的信息是在安全性降级的协议上发布的,大多数浏览器都会通知您,例如HTTPS(加密)到HTTP(纯文本),因此有时检查当前网址是否足够好(尽管仍有办法解决这个)。


问题2

SOAP是一种数据交换协议,可用于从商家(“业务伙伴”)和PayPal进行通信。我不认为在客户和业务合作伙伴(商家)之间存在SOAP“交易”(如您所述)是常见的,但是从商家到PayPal,可以使用PayPal SOAP API。这种数据传输方法与其他方法一样安全,因为通信必须加密才能连接到PayPal的SOAP服务器。有关详细信息,请参阅PayPal SOAP APISOAP protocol的详细信息。