2

我正在查看商家帐户,据我了解,存储送货地址对于 PCI 合规性来说是可以的,这是真的吗?此外,似乎 Recurly 的 API 需要 SAQ C 或 SAQ D,我查看了一些示例问题:

  • 配置标准是否包括对每个 Internet 连接以及任何非军事区 (DMZ) 和内部网络区域之间的防火墙的要求?
  • 是否有批准和测试所有外部网络连接以及防火墙和路由器配置更改的正式流程?

我的意思是,对于大多数人来说,我认为不。PCI 合规性是否仅适用于成熟的公司?我相信很多人都想要无缝结帐,而且肯定有一些服务可以避免 PCI 合规性,那么为什么要获得商家帐户呢?值得付出额外的努力吗?我的意思是,看到这些示例问题已经很麻烦了。

4

1 回答 1

5

任何接受信用卡的商家都需要遵守 PCI 规定

您最好与专门从事 PCI 合规性的公司交谈。无论如何,您可能需要聘请审计员来验证您的合规水平。我认为这是一个完整答案的错误论坛。

但是,解决您的一些观点:

  • PCI 不禁止存储送货地址。大多数购物车都是这样做的。
    • 但是,作为客户,如果存储我的地址的企业将其视为有价值的敏感信息,并像信用卡数据或社会安全号码一样保护它,我将不胜感激。
  • DMZ/防火墙配置对站点来说完全是题外话,但总的来说,是的。
  • 您的公司/企业应该有自己的测试/验证/文档的正式流程,并且您将被要求证明您拥有此流程(通过将其提供给您的审核员)并证明您遵循它(显示更改票证请求并列配置更改,或任何适用于您的情况)

此外,请记住,PCI 合规性应被视为最低限度的良好安全实践。符合 PCI 标准并不意味着您是安全的。这意味着您符合该特定标准。

许多符合 PCI 标准的公司遭到破坏,并丢失了关键/敏感数据,包括导致其客户/员工身份被盗的类型。

几年前我们开始进行审计时,这让我们大开眼界,在我们大开眼界之后,我们集成了安全开发生命周期,需要大量培训,并且随着时间的推移了解到 PCI 合规性只是一个开始。PCI 没有涵盖的内容太多了。

无论如何,我会从这里开始,然后确定你需要达到的水平。

至于这是一个巨大的麻烦,你是对的......

良好的安全性是一件麻烦事。它需要对细节的繁琐关注。你不只是出去写代码,你做威胁建模、代码审查、渗透测试。从需求收集到发布,您的整个过程都应记录在案,并在每一步都解决安全问题。您应该考虑关注点分离,以确保没有一个流氓开发人员可以在他或她心怀不满时感染您的网站,或者系统管理员无法锁定所有内容并退出(就像加利福尼亚州的一个城市发生的那样不久前)。

如果你想要任何保护,你必须得到的细节数量是疯狂的,然后你仍然必须忍受你永远无法达到 100% 无懈可击的事实。

而这仅仅是开始。

它增加了很多开销,而且很麻烦。

但这么大的麻烦是值得的。当您考虑被破坏的成本时,不仅对您,而且对您的客户、业务合作伙伴等。

于 2012-07-05T21:42:38.843 回答