31

在数据库中存储信用卡号应遵循哪些 PCI 规则?

1)这是允许的吗?2)如果是这样,我们必须遵循什么规则?

我在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件?

4

3 回答 3

48

1)是的,这是允许的,但非常非常不鼓励。在您的数据库中拥有这些信息会使您成为黑客极具吸引力的目标。如果你认为你可以保护它,再想一想。黑客已经击败了具有出色安全性的公司的安全性。你的安全不会更好。

2) 您必须遵守本指南中列出的 PCI 规则。但是您可能会发现本指南更易于理解。前往第 14 页了解您需要了解的内容。基本上您可以存储它,但必须根据 PCI 标准对其进行加密。您的服务器和网络也必须是安全的。如果任何一块拼图不符合 PCI 标准,您就无法存储信用卡号。这排除了大多数共享托管公司作为解决方案。

于 2010-11-29T14:37:23.493 回答
41

这不是一个直接的答案,而是一个建议。请不要投反对票;我只是想提供帮助。在获得了丰富的 PCI 合规性经验后,我强烈建议您尽可能避免在系统上保存信用卡信息。

我们使用的方法(非常成功)是标记化。有些服务会为您收集和存储您的信用卡信息。您进行 API 调用以获取令牌,通常是某种散列,表示信用卡的主帐号。当您想为卡计费时,您传递令牌和其他交易详细信息,然后他们处理付款。

这是有关该过程的简单文章: http ://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

这些天有很多选择:

有关该方法的更多信息,您可以使用Google 搜索:信用卡令牌化

于 2012-01-18T16:50:51.450 回答
2

你可以,但这样做很昂贵。

您需要由其他服务或专用 DNS 服务器提供 DNS。

您需要有一个运行 SQL Server 数据库的专用服务器,仅此而已。

您需要使用 PCI 认可的软件。

您的数据库服务器需要与您的 Web 服务器位于同一个数据中心内,否则性能会很差。

因此,最好将您的站点托管在 PCI 安全主机上,或者按照我的描述设置您的服务器。

于 2013-01-09T00:12:57.563 回答