PCI DSS-Zertifizierung

Für eine neue Version des Undsoversum Shops werde ich, wenn das hier alles klappt, auch Kreditkartenzahlungen direkt annehmen können, ohne Paypal zwischenzuschalten. Die API stellt Paymill zur Verfügung.

Um in der lustigen Kreditkartenwelt mitzuspielen, muss man PCI DSS compliant sein, also entweder selbst keine Kreditkartendaten speichern oder, falls man das doch tut, sich an die Sicherheitsspielregeln halten. Paymill kümmert sich also darum für mich. Ich muss jetzt nur noch der Security Research & Consulting GmbH mitteilen, dass das wirklich so ist. Dafür muss ich:

Meine Kundennummer meines Acquirers Lufthansa AirPlus Servicekarten GmbH bei der OSSP von SRC Bonn eingeben und einige Fragen beantworten. Die beiden Links bitte mal klicken und sich am Design erfreuen.

Daraus wird mir dann ein 12-seitiges RTF- (ja, RTF, nicht PDF) Formular genieriert. Selbstbeurteilungsfragebogen A und Konformitätsbescheinigung. Ja, das sieht so aus, wie man sich das vorstellt.

Das Formular gilt für: “Alle Karteninhaberdaten-Funktionen wurden ausgegliedert. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten”

Auf den 12 Seiten wird dann abgefragt, ob alle meine Speichermedien, auf denen ich ja keine Kartendaten speichere, auch sicher sind. Gibt es Logfiles, werden die Ausdrucke geshreddert, haben Container ein Schloss? Gibt es eine Informationssicherheitsrichtlinie für mein Personal, damit die nicht vorhandenen Kartendaten sicher sind?

Und das ist nur das Prozedere, wenn ich keine Kreditkartendaten speichere.

Silverlight Video auf iOS

Wer Hollywood-Content verkaufen will, muss sich den Hollywood-Regeln unterordnen. Ein Kopierschutzsystem mit Hollywood-Approval ist natürlich das gute alte Windows Media DRM, jüngst mit Silverlight wieder aufgewärmt. Die ganzen Kunden haben aber iPads.

Wir müssen jetzt also einen iOS-Client mit Microsoft Silverlight DRM implementieren. Blöde Idee, aber whatever.

So gehts!

  • Login-Username und Passwort geht im Klartext über die Leitung
  • Client holt sich ein SMIL-Manifest für den gewünschten Content
  • Lizenz “erwerben” beim Microsoft DRM-Server (AES128-Schlüssel, geht im Klartext über die Leitung)
  • Media-Segmente (Audio und Video getrennt) vom Server holen, entschlüsseln
  • Segmente von ISMA/ISMV neu in einen MPEG2 TS muxen (?)
  • Webserver auf localhost aufmachen
  • Segmente an den iOS HTTP Live-Player füttern
  • Und damit niemand mitlauscht, machen wir das mit SSL

Easy, huh? Damit jetzt niemand die wertvollen Bits von außen abschnorcheln kann, binden wir den HTTP-Server nur auf loopback, und SSL kann eh keiner abhören. Großer Gewinn!

Und der Key liegt natürlich gleich dabei.
Und der Key liegt natürlich gleich dabei.

Apple rät übrigens wenig überraschend explizit von solchen Stunts ab.