0

我从事我公司的 PCI DSS 合规性工作。经过一番研究,我发现存储任何信用卡数据根本不是一个好主意,因为这会使事情变得更加复杂。

我找到了一家支付提供商,它结合了令牌化解决方案提供了一个安全的数据保险库。因为我不想审核大型解决方案的所有子模块,所以我想写一个透明的代理服务器来替换信用卡(通过正则表达式找到它)并用令牌替换它,只要我想发送信用卡卡给第三方,我通过代理发送它,代理将令牌更改回信用卡。这应该会减少安全编码要求,包括对代理的代码审计,因为所有其他代码都只是被令牌击中。

我使用 ASP.NET MVC / Webforms 和 WCF。完成这样的事情的最佳方法是什么?我想写一个 HttpFilter / ISAPI 来完成这项工作。

也许已经有这样的产品了?这个想法有意义吗?

4

3 回答 3

2

我会警告不要采用这种方法。

1) 正则表达式来捕获所有可能的 CC 可能过于复杂或在某些情况下可能不起作用(破折号、空格、点、CC 编号中的错误)。2)您可能会发现看起来像 CC 编号但不是(尤其是二进制数据)的数据的误报 3)您可能无法捕获错误输入的 CC 编号 4)它“感觉”错误

我建议您使用您的支付处理器更进一步,找到一个不仅提供符合 PCI 和标记化 CC 存储空间,而且还提供您重定向到的 CC 捕获页面,当您需要从其中捕获 CC 详细信息时用户。这样您的应用程序就不必做任何事情

于 2012-02-13T02:20:52.147 回答
1

您可能希望查看Authorize.Net 的客户信息管理器 (CIM) API 之类的东西,它允许您创建存储在 Authorize.Net 的服务器上的支付配置文件,并在未来使用配置文件 ID(又名令牌)对它们收费。

于 2012-02-12T18:23:14.280 回答
1

PCI 安全标准委员会发布了令牌化指南。你可以在这里找到它:https ://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf

重要的是要注意(就像您无论如何都知道的那样),虽然您可以使用标记化来减少 PCI 的影响,但不太可能使您的所有系统都不必遵守,因为至少标记化代理将在范围内。

于 2012-02-13T19:38:14.180 回答