Jump to content

Recommended Posts

  • 2 months later...

É razoável. Dá pra rodar uma loja simples. Só não conte muito com o suporte.

 

E recomendo que, se for utilizar, solicite logo a instalação do certificado SSL no início do projeto, porque eles demoram meses para instalar, o que normalmente demora 5 minutos em um servidor normal.

 

Mas ainda é melhor que a Hostnet, onde não tem permissões automáticas nem é possível ter certificado SSL próprio.

 

Boa sorte

Link to comment
Share on other sites

Desculpa me meter, mas o SSL não seria necessário para proteção apenas no caso de uso de transação com cartão de crédito em ambiente do próprio site? o chamado Buy Page Site !!!

 

Estou usando o sistema Cielo homologado com módulo para transação tipo Buy Page Cielo, onde, no momento de preenche os dados do cartão, abre uma janela popup no ambiente da Cielo, assim não precisa de SSL.

 

Estou certo?

 

Beltrão.

www.locusjeans.com.br

Link to comment
Share on other sites

Exatamente, soluthier.

 

Sem SSL, qualquer hacker iniciante pode capturar todos os dados dos seus clientes.

 

Deveria ser obrigatório para toda loja virtual. 

Toda loja séria deve ter.
Qualquer cliente bem-informado não se cadastra em loja sem 
https://

Bom trabalho a todos.

Edited by Daniel - PrestaBR (see edit history)
Link to comment
Share on other sites

Obrigado pela dica... não tinha analisado a coisa por esse lado.

 

Mas uma coisa me chamou atenção "qualquer hacker iniciante" pode acessar as informações de clientes contidas em lojas que usam o PrestaShop? acho que essa afirmação reduz muito o interesse junto a pessoas que queiram usá-lo como plataforma, sem falar na baixa confiança dado a comunidade que ajuda a desenvolvê-lo no que diz respeito a sua segurança.

 

Beltrão.

Edited by José Beltrão Júnior (see edit history)
Link to comment
Share on other sites

Ao contrário, José Beltrão Júnior

 

O PrestaShop é uma das ferramentas Open-Source mais seguras do mundo. Se não for a melhor neste quesito.

 

A segurança do Servidor onde a loja está hospedada é outra história completamente diferente.

Você pode ter o sistema mais seguro do mundo, mas se seu servidor não for seguro, não adianta nada.

 

Recomendo ler as recomendações do PCI:

https://pt.pcisecuritystandards.org/

http://www.pcicomplianceguide.org/

 

Bom trabalho a todos.

Link to comment
Share on other sites

Legal saber disso Daniel, eu confio muito no projeto tanto que o escolhi entre outros.

 

Da forma que colocastes agora, ficou melhor e sem margem para dúvidas.

 

Mas desculpe minha insistência quanto aquilo que devemos escrever e como, pois muitas vezes escrevemos o que queremos, e acabamos lendo o que não queremos, pois dizer que loja sem SSL não é séria "Toda loja séria deve ter", poderia ter sido evitado, pois todos que se lançam em um projeto de ecommerce, passam horas na frente de um computador para fazer o melhor possível, desenvolvem estratégias de divulgação e diariamente se aprofundar no Presta e etc... não podem ser tratados de não terem seriedade pela falta de um certificado.

 

Eu mesmo não havia me ligado nisso, poderia ter lido as recomendações PCI? sim, mas não li, o que não me fez menos sério, mas agora aprendi sobre este pequeno "detalhe" graças a minha diária visita ao fórum e minha vontade de querer aprender cada vez mais, e de ajudar também.

 

Quanto a "Deveria ser obrigatório para toda loja virtual." Você na qualidade de membro moderados do Presta.BR, poderia sugerir ai nas pautas, que o Presta só poderia ser instalado em ambiente com certificado SSL, isso evitaria sua indignação.

 

Obrigado a quem faz e cuida do Prestashop, sou fã do sistema.

 

Ps. Já estou junto ao meu provedor tratando de como implementar o SSL, não para me tornar mais sério, mas porque é importante.

 

Beltrão.

Link to comment
Share on other sites

Olá Beltrão

 

O que o Daniel quis dizer não é menosprezo para quem não usa SSL, nem tão pouco que o seu negócio não seja sério. Ele quis somente exemplificar que é elementar ter SSL até por que a nova lei sobre eccommerce exige isso. Então deixa de ser uma opção e passa ser uma obrigação (Decreto nº 7.962 de 15 de março de 2013):

 

Art. 4o  Para garantir o atendimento facilitado ao consumidor no comércio eletrônico, o fornecedor deverá:

VII - utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor.

 

Isso implicitamente quer dizer que deveremos, força de lei, usar meios de encriptação (vulgo SSL e outros serviços) para dados pessoais e pagamentos.

 

Abs

Link to comment
Share on other sites

Ok Soluthier, obrigado pela explicação, não quero mais me ater a este assunto, tenho muito o que fazer e pouco tempo em minha rotina diária.

 

Mas... (sempre o mas), da forma que foi colocado pelo Daniel, está longe da forma que você colocou, impessoal e técnica. Tem que ter muito cuidado com as palavras, como membro moderador ele deveria... moderar, e não indignar-se e evitar opiniões pessoais.

A grande maioria dos membros aqui, são iniciantes e precisam de ajudar e incentivo, pois se os membros "apprentice" acharem que não irão conseguir ter a seriedade necessária cobrada no fórum para estar no Presta, migrarão para outro aplicativo onde principalmente, sua comunidade moderadora demonstrar melhor acolhimento. E eu afirmo, nem o facebook sobrevive sem seus usuários.

 

Fica a dica.

 

É isso ai, vamos a luta.

 

Beltrão. 

Edited by José Beltrão Júnior (see edit history)
Link to comment
Share on other sites

Beltrão

 

Não me entenda mal. Minha intenção não foi rotular ninguém de ser ou não sério.

Muito menos algo pessoal direcionado a você ou a seu projeto. 

 

Apenas quis explicitar a importância de utilizar a criptografia para garantir um nível mínimo de segurança para os dados pessoais dos clientes.

 

Ser moderador neste fórum não me impede de expor minhas opiniões pessoais. Afinal, é um fórum...

Mas como não tenho muito tempo para ajudar neste fórum, as limito ao estritamente necessário.

 

Como o PrestaShop é uma plataforma OpenSource, é normal existirem lojas desenvolvidas e configuradas por pessoas inexperientes, que não se preocupam com "detalhes" como segurança.

E isto não é uma opinião pessoal minha, é um fato.

 

Mas... Não vou prolongar mais este assunto.

 

Bom trabalho a todos.

Link to comment
Share on other sites

Boa Noite Pessoal

Vamos analisar os fatos, sem encrenca, sem magoas, bola para frente que quanto mais conversarmos, mais iremos aprender, e mais seremos felizes. 

 

Voltando ao ponto do SSL, quero falar um pouco sobre um pensamento meio 'torto' que me veio a mente lendo os comentários acima. Como gosto de legislação, e muitas vezes ela deixa brechas para entendimentos diversos, abaixo mais lenha para os comentários.

 

O SSL até onde sei é para criptografar uma conexão entre o usuario(navegador) até o servidor de destino e a informação não ser "surrupiada" no meio do caminho.

 

Como no nosso querido brasil, em termos de legislação nunca deixa nada claro, gostaria de comentar sobre a tal da lei do ecommerce.

------------------

Art. 4o  Para garantir o atendimento facilitado ao consumidor no comércio eletrônico, o fornecedor deverá:

VII - utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor.

-----------------------

Baseado no que o soluthier colocou, tenho uma visão um pouco diferente (diferente, mas acho que é necessário SSL hoje, apesar de ser mais lento, um custo adicional e algumas coisinhas loucas com navegadores)!

 

Quando tratamos de trafego de informação, a responsabilidade é de quem? da operadora do ADSL? do operador 3G? No meu ponto de vista, o roubo de dados pode acontecer do navegador, para ambiente de uma operadora ou operadoras, até a chegada no servidor.

 

PS: virus é um caso diferente, que pode ser roubada a informação antes dele ter trafegado também!

 

Com isto penso que no caso da lei do ecommerce, os consumidores da adsl/3g,etc tem seus direitos preservados, pois a segurança 'deveria' ser provida pela operadora e não necessariamente pela loja. Baseado neste pensamento, dá para 'viajar na maionese', por vários pontos, como: por que depois do meu modem, ao cair no link da operadora o trafego nao é criptografado? acredito que tecnicamente seja possível, mas porque vão fazer se 'alguns' ganham $$$$ jogando a responsabilidade para os outros.

 

Bom, referente a segurança que acho que a responsabilidade da empresa, é referente aos dados do cliente que ficam em seu servidor ou terceirizado (sendo terceirizado já muda o assunto de novo, se passa a responsabilidade para outro), mas de nada adianta ter SSL, se o servidor é furado, se o funcionário da ti for corrompido, etc..etc.

 

Já referente ao presta, as informações que são criptografadas até onde sei é a senha, ou seja, o cpf também não é!

O correto seria a criptografia de uma via, pois diminiu a chance de identificação da hash ou método usado e ai melhor a segurança, porém ai começa o problema. Como vamos consultar o cpf do individuo posteriormente se ele está criptografado em uma via, ou como vamos fazer uma NF, se nao sabemos o cpf, endereço, etc.

Ou seja, tecnicamente tudo é criptografável, porém tudo tem que ser descriptografado  em algum momento, deixando margem para exposição de informação. 

 

A lei existe, mas ninguém diz como coloco em operação!

 

Abraço a todos.

Mauro

Link to comment
Share on other sites

Mauro,

 

Fica muito difícil analisar a responsabilidade de cada parte, acho que nem deve ter jusrisprudência sobre isso mas não custa procurar. E mesmo assim, a responsabilidade só será definida, acredito eu, em um caso concreto com análise de todas as circunstâncias. Não dá pra apontar um bode espiatório assim.

 

Na verdade o que eu postei sobre SSL não é minha opinião sobre segurança, até pq já ficou comprovado com o caso Wikileaks que o SSL já tem falhas pré-programadas e tenho minhas dúvidas quanto à segurança. O que eu quis foi somente exemplificar que já existe uma legislação em vigor e resumi que da parte da loja ela poderia implementar uma criptografia SSL. Então só foi um exemplo, um resumão. 

 

Claro que a lei é bem vaga e também nem se sabe ainda se vai "pegar", como costumamos dizer. É que nem a lei de proteção ao consumidor que possui muitos pontos que ainda não são cumpridos.

 

Só sei de uma coisa, quando dá uma m*rda o primeiro lugar que o cliente vai vir reclamar é na loja e por isso sempre é bom se precaver da melhor forma possível. Claro que não é só um certificado que vai garantir isso mas já um começo.

 

Com relação ao cpf ele não é um campo nativo do Prestashop (pelo menos na minha configuração, onde tenho um módulo fazendo a coleta), como a senha. Ele não é criptografado, então  não é da responsabilidade da plataforma Prestashop.

 

Você poder dar uma olhada nas regras PCI. Lá explica melhor essas coisas de segurança de como deve ser feito etc.

 

http://pt.pcisecuritystandards.org/

 

Abs.

Link to comment
Share on other sites

Soluthier,

Tranquilo...entendo do mesmo jeito que você!

Só se descobre quando der m...a, e ainda assim dá dor de cabeça!!

A responsabilidade do prestashop, nem esquento a cabeça com isto, por que sei que eu vou ser o primeiro a ser acionado e a responsabilidade da porta para dentro do servidor, é minha, e pronto...hehehee

Abraço a todos.

Mauro

Link to comment
Share on other sites

  • 3 months later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...