我一直在与拒绝采用 PCI 标准的客户进行辩论。我想与社区核实,以确保我的反对意见是正确的。
问题:有没有办法将信用卡信息存储在共享托管服务器上并符合 PCI 标准?
这是设置:
1) SSL 正在为整个结帐过程和客户网站的管理部分实施。
2)信用卡信息存储在MYSQL数据库中的服务器(共享主机计划)上。它是加密的。
3) 客户访问受密码保护的管理面板并从她的网站打印信用卡。
4) 客户端然后通过终端手动运行信用卡信息并从服务器中删除该信用卡信息。
问问题
340 次
4 回答
2
不它不是。
阅读https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf - 这是 PCI DSS 内容的一个很好的指南。
就个人而言,我会说第 5-10 节不太可能在这里发生。
于 2011-08-20T00:17:08.907 回答
0
有时,作为开发人员,我们必须引导客户采用最佳实践,即使他们反对。目前这种存储加密数据的做法听起来非常危险。如果发现您的客户违规,仅罚款就可能破坏他们的业务,并且它也可能再次困扰您。这个网站上有一些很好的信息: https ://www.owasp.org/index.php/Handling_E-Commerce_Payments
许多商家帐户对于小型企业来说非常实惠。您应该考虑使用 Authorize.net 或类似网关设置您的客户端。设置购物车/结帐流程具有一定的挑战性,但如果您能够设置像您描述的那样的系统,我相信您可以在一周左右的时间内搞定。
祝你好运!
于 2011-08-20T00:04:27.990 回答
0
It is possible to use a shared hosting provider and be PCI compliant. The PCI standard includes additional controls that must be in place if you are (or are using) a shared hosting provider.
The extra controls include the ability to separate processess between the different clients, control access of one client's data by another client, control access to audit logs and others.
However, if you decide to go down this route... good luck!
于 2011-12-27T00:10:24.563 回答
-3
看看 MaximumASP 的 maxesp 云产品: http: //www.maximumasp.com/products/cloudhosting/default.aspx
他们声称其共享托管云计划中的 Web 和数据层“完全符合 PCI”。缺乏相反的证据,假设MaximumASP 的主张是有效的,您的问题的答案似乎是“是” 。我对 PCI 的细节不够熟悉,无法反驳他们,但如果其他人可以反驳这一说法,我会非常感兴趣。
于 2011-08-20T02:16:12.760 回答