0

我们有一个管理网站,它本质上是一个用户界面,供我们的客户查看他们的客户交易和报告。这是使用 Telerik MVC 控件在 ASP.net MVC3 上开发的。我们产品的主要症结是网络服务。我们正在考虑让我们符合 PCI 标准。网站上的身份验证根本不安全,没有自定义成员身份或表单身份验证。我们将散列密码存储在数据库中。我想看看是否有任何开箱即用的第三方“PCI 兼容”库可用于进行用户身份验证?如果不是,在会员中实现 PCI 合规性的最佳方式是什么?

此外,我们目前使用开源 log4net 来记录网站和 Web 服务。是否有其他一些符合 PCI 的“日志记录”解决方案?如果日志记录可以在产品级别和网络级别使用,那将是最好的。

感谢所有的帮助。

谢谢,SDD

4

1 回答 1

0

关于身份验证,PCI 要求所有密码都经过加密或散列,其中散列是最简单的实现。

避免使用 MD5。我建议使用 PBKDF2。查看http://code.google.com/p/stackid/source/browse/OpenIdProvider/Current.cs#1135了解 stackoverflow 实际使用的一些参考代码。

Log4net 可以很好地记录日志,但您需要使用 UdpAppender 将日志发送到 syslog 服务器。确保您至少记录 PCI 日志记录要求所要求的内容,并确保您不记录任何密码或信用卡号。

于 2012-08-20T21:38:32.903 回答