Executando verificação de segurança...
1

[DÚVIDA]Sobre pagamentos e segurança

Criar sites com meios de pagamento

Olá recentemente me foi proposto criar um e-commerce para um membro da minha família e pensei bastante, pois já tenho prática com criação de APIS e sites institucionais, porém nunca mexi com pagamentos. Eu queria saber se voçês que já utilizaram stripe, paypal, pagar.me, se é uma coisa que precisa além de conhecimento técnico tipo js, python, precisa conhecer sobre segurança de dados, ou se utilizar o next (que sempre uso) ele já tem resolvido essa questão de segurança das informações do cliente.

Não sei se o que eu disse fez muito sentido, mas é isso mesmo que eu queria saber, vale eu me preocupar com isso ou é só implementar com um framework estável e tudo vai dar certo?

Carregando publicação patrocinada...
2

Em geral estas APIs de pagamento funcionam assim: você gera uma cobrança, que retorna um link no qual você vai redirecionar seu usuário. Após isso você recebe uma chamada webhook da API que vai lhe informar o status do pagamento.

Nesse tipo de operação, não é guardado nenhum dado sensível.

Há também outro tipo de operação que é quando você quer guardar o cartão de crédito para uso futuro ou cobranças recorrentes.

Nessa operação, você envia para a API da empresa de pagamentos os dados do cartão do cliente diretamente do front-end. Essa requisição não deve passar pela sua API, ou seja, você não deve ter visibilidade destes dados. A API então retorna o cartão de forma tokenizada. Esta token você (e só você) pode usar para efetuar cobranças, e você pode armazenar essa informação no seu banco de dados.

Como essa token é ligada a sua conta, caso essa informação vaze, ela será inútil para outras pessoas.

De toda forma, você precisa sempre ter cuidado com a segurança, pois além do pagamento, as informações pessoais e dados sensíveis são protegidas pela LGPD:

De acordo com a LGPD, dado pessoal é a informação relacionada à pessoa natural identificada – tais como nome, sobrenome, RG e CPF – ou identificável, como no caso dos dados de geolocalização (GPS), endereço IP, identificação de dispositivo etc.

Adicionalmente, a Lei traz o conceito de dado pessoal sensível, que diz respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

1
1

Um mínimo de dados você deve guardar, por exemplo os pedidos associado ao email, endereço da pessoa por exemplo. Isso precisa estar seguro e cumprir as exigências da LGPD.

Obvio que na prática, uma empresa pequena, um site pequeno, dificilmente será fiscalizado.

Mas o que puder fazer para ja ir se enquadrando, acho valido.