我从事我公司的 PCI DSS 合规性工作。经过一番研究,我发现存储任何信用卡数据根本不是一个好主意,因为这会使事情变得更加复杂。
我找到了一家支付提供商,它结合了令牌化解决方案提供了一个安全的数据保险库。因为我不想审核大型解决方案的所有子模块,所以我想写一个透明的代理服务器来替换信用卡(通过正则表达式找到它)并用令牌替换它,只要我想发送信用卡卡给第三方,我通过代理发送它,代理将令牌更改回信用卡。这应该会减少安全编码要求,包括对代理的代码审计,因为所有其他代码都只是被令牌击中。
我使用 ASP.NET MVC / Webforms 和 WCF。完成这样的事情的最佳方法是什么?我想写一个 HttpFilter / ISAPI 来完成这项工作。
也许已经有这样的产品了?这个想法有意义吗?
我会警告不要采用这种方法。
1) 正则表达式来捕获所有可能的 CC 可能过于复杂或在某些情况下可能不起作用(破折号、空格、点、CC 编号中的错误)。2)您可能会发现看起来像 CC 编号但不是(尤其是二进制数据)的数据的误报 3)您可能无法捕获错误输入的 CC 编号 4)它“感觉”错误
我建议您使用您的支付处理器更进一步,找到一个不仅提供符合 PCI 和标记化 CC 存储空间,而且还提供您重定向到的 CC 捕获页面,当您需要从其中捕获 CC 详细信息时用户。这样您的应用程序就不必做任何事情
您可能希望查看Authorize.Net 的客户信息管理器 (CIM) API 之类的东西,它允许您创建存储在 Authorize.Net 的服务器上的支付配置文件,并在未来使用配置文件 ID(又名令牌)对它们收费。
PCI 安全标准委员会发布了令牌化指南。你可以在这里找到它:https ://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf
重要的是要注意(就像您无论如何都知道的那样),虽然您可以使用标记化来减少 PCI 的影响,但不太可能使您的所有系统都不必遵守,因为至少标记化代理将在范围内。