我们必须确保这些临时数据将是持久的,并且删除符合 DoD 的安全标准(擦除磁盘上的数据/避免存储在磁盘上)。
我想将使用 RIJNDAEL 256 算法 + 精心制作的秘密加密的数据存储到内存缓存中,但我担心数据丢失/损坏。
我对 MySQL 和内存堆存储引擎也有同样的想法,但到目前为止我还不知道这件事的可靠性。
对这个问题有什么想法吗?
问问题
964 次
2 回答
4
这可能比你想象的更麻烦。只要您将卡的详细信息保存到磁盘,PCI-DSS 的全部重量就会落在您身上。这意味着您的整个网络(甚至是公司)都会受到严密审查,以确保其安全并遵循强有力的最佳实践建议。
使用 AES(256 位 Rijndael)是朝着正确方向迈出的一步,但与组织符合 PCI 的密钥管理系统的难度相比,实际加密是微不足道的。密钥必须拆分(双重知识),不能与数据存储在同一个盒子上,必须能够至少每年轮换一次,等等。正确管理密钥是一项挑战。
但最终,您需要证明您提出的任何解决方案都符合 PCI 标准。您通过注册 QSA(合格安全评估员)的协助来证明您的合规性。最好的建议是现在就引入 QSA,这样他们就可以就采取何种方法提出建议,并在必要时指导您绕过陷阱。
在项目完成时引入 QSA 是一种虚假的经济,因为如果他们未能解决您的解决方案,您将重新开始。
于 2010-12-18T19:15:17.340 回答
0
存储卡数据是绝对必要的吗?有些供应商(例如Braintree)会处理卡片,而不需要您的站点存储卡片信息,从而减轻您与 PCI 兼容的负担。
于 2010-12-16T23:01:58.140 回答