Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我们正在开发一种新软件(实际上只是一个 php 脚本),它收集持卡人信息并将其存储在 MySQL 数据库中。显然,我们正在采取一切安全预防措施(防火墙、防病毒、SELinux、限制对机器的访问),但我们正试图了解在实施之前我们需要采取哪些步骤。
由于客户是 4 级商户(没有实际交易,只是存储持卡人信息),我们需要进行哪些扫描才能找到?
显然我们需要扫描服务器/IP,但是收集数据的 php 脚本呢?
您的客户实际上并未执行交易这一事实不会影响他们的合规义务,因为 PCI/DSS 对卡数据存储的应用与对交易处理的应用一样多,事实上,如果它们可归类为“服务提供商”,则有附加义务。
根据您与客户的关系以及您对软件(服务/现成产品等)的分类方式,您可能还需要承担针对支付(包括存储)软件开发人员的PA-DSS的额外义务,并且可以如果您销售的东西设计为符合 PCI 标准,那么您会变得非常铁杆。
如果您查看V2规范的副本,所有要求都列出了,例如,6.6 解释了您需要对面向公众的 Web 应用程序(“独立”代码审查或应用程序防火墙)做什么。