0

我不确定这最适合哪个 Stack Exchange 站点,所以如果需要,请移动我。

所以我的客户带着他们运行Internet Kiosk Pro的电子商务信息亭来找我。售货亭访问了他们正常的 eComm 商店,这是一个非常糟糕的主意,我们现在正在开发一个对售货亭友好的商店。

在查看信息亭软件时,我发现它起源于俄罗斯并且(称我为偏执狂),但考虑到围绕俄罗斯暴民和信用卡诈骗的负面新闻数量,我有点担心。

有人对 Ixis Research LTD 有好的情报吗?

任何人都知道一套他们认为被验证为安全并由有信誉的人制作的信息亭软件?

我是不是偏执地担心这个?我强烈认为这个“黑匣子”可以成为收​​集有价值的私人信息的工具。

// 2012 年 8 月 24 日更新

对此的最后一条评论 - Authorize.net “认证” Provisio 的 SiteKiosk,但如果您向 Provisio 询问 PCI 合规性,您会收到一封股票信,说明这不是他们的问题,也与他们的产品无关。从他们的文档中粘贴的这个畸形句子:“PCI 合规性在很大程度上涉及存储和保护持卡人数据。SiteKiosk 不存储任何持卡人数据,这消除了存储和保护持卡人数据的需要。客户数据被存储、传输,并通过支付网关处理。” 他们继续说您应该获得自己的信息亭机器、网络硬件和配置以及机器上的软件的认证。他们不提供任何第三方分析或认证来证明他们的产品是安全的。

4

1 回答 1

1

通常,任何处理信用卡账户数据的软件应用程序都应通过认证公司的 PCI-DSS 审计,该认证公司将对软件进行一系列测试,并提供有关软件未能通过审计的任何方式的报告。

这是关于 PCI 标准的描述和文档。我曾与一家名为 Coalfire 的审计公司合作,使用我所使用的销售点应用程序。

所以第一个问题是信息亭软件是否通过了 PCI-DSS 合规性审核。主要信用卡供应商在这一点上变得越来越粘。

在阅读了 STUXNET 和其他类型的恶意软件之后,我不太确定防火墙限制是否会产生很大的不同,因为毕竟您是按照供应商的说明安装和配置软件,包括供应商要求的任何防火墙配置更改。

于 2012-08-21T18:40:27.497 回答