问题标签 [pci-compliance]

是否有任何简单的（内置的、附加的、开源的或商业的）在 Postgresql（主从）上进行复制，以便在复制时清理从属内部的数据以符合 PCI 合规性？ETL 工具呢？它不必是瞬时的……最多一个小时的延迟是可以接受的，但当然越快越好。

如果这不起作用，是否可能在从数据库上使用触发器来实现这一点？

我想让我的客户用户输入他们的信用卡信息，这样我就可以每月向他们收费。

我想知道应该如何保存这些信息？

是应该保存在 MySQL 数据库（“user”表）还是这种信息过于敏感，需要存放在其他地方？

我没有这方面的经验，如果有人能建议我如何做到这一点，我会很高兴。

谢谢。

我一直对此感到好奇，但从未找到任何好的信息。我曾经在一家做在线订购的披萨店工作。用户将提交他们的卡信息，我们将在商店运行它。我想知道是否有人可以告诉我这笔交易是如何发生的。如果它符合 PCI 标准，以及如何将其发送到打印机。我可以想到几种方法，但它们似乎都不是正确的方法。我正在寻找在 PHP 中执行此操作。谢谢。

我有这个想法，但我不确定它是否符合 PCI 标准。我是 PCI 合规领域的新手，很想知道这种情况是否违反了 PCI。

所以，让我们设置场景。A 公司符合 PCI 标准，并在 https 上提供 Web 服务，公开支付处理相关的一些功能。B 公司不合规，但他们的网站是安全的。

以下是该场景的步骤。

1. B 的网站通过服务器端代码联系 A 的网络服务。此服务发回一个加密的身份验证令牌。
2. B 将此令牌注入包含接受信用卡信息的表单的页面中。
3. 用户在 B 的网站上输入他们的信用卡信息。
4. 表单信息与令牌一起通过 ajax 调用发送到 A 的 Web 服务。
5. A 的 web 服务处理数据并返回状态（批准/拒绝/等）

问题是，由于 javascript 直接从用户的机器传输到 A 公司的兼容服务器，它是否符合 PCI 标准？我很想知道这个领域的专家是怎么想的。

我不知道去哪里解决 PCI 合规性问题，所以我想我会试一试。如果有人能指出我可以去哪里提问的正确方向，请分享。我也很乐意将其标记为答案。

如果一个符合 PCI 的站点连接到一个不存储用户信息但包含可能在支付过程中呈现的 HTML 和 JavaScript 片段的数据库，该数据库是否需要进行身份验证才能保持 PCI 兼容？我正在评估 MongoDB，发现它在配置副本集时不提供身份验证。

在数据库中存储信用卡号应遵循哪些 PCI 规则？

1）这是允许的吗？2）如果是这样，我们必须遵循什么规则？

我在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件？

如果我运行购物车应用程序，Web 服务器是否需要符合 PCI 标准？我问的原因是因为我无论如何都不处理网站上的付款。主要付款方式将通过 Paypal。

我还没有决定我将使用哪个购物车应用程序：它可能是以下之一：opencart、magento、zen-cart

谢谢您的意见。

如果我依靠 Braintree 进行支付处理，我可以存储哪些信用卡信息同时仍符合 PCI 标准？

我问的原因是，作为一个简单的优化，如果客户已经用信用卡从我的商店购买了东西，我可以向他们显示他们信用卡的最后 4 位数字和卡类型，而无需对 BrainTree 的 API 调用。如果他们想换卡或购买，我必须打电话，但对于那一页，我不会。

问题是，我可以存储：

• 信用卡的最后 4 位数字
• 和卡类型
• 和可能的持卡人姓名

或者哪里有我可以查看的 PCI 合规性“注意事项”列表？

我目前正在尝试通过我客户的一个站点的 PCI 合规性，但测试公司正在标记一个我不理解的漏洞！

测试公司的（站点已删除）详细信息如下：

这里的问题是通常与电子商务应用程序相关的跨站点脚本漏洞。其中一项测试在您的站点 URL 末尾的 GET 请求中附加了一个无害的脚本。它被标记为跨站点脚本漏洞，因为由用户（我们的扫描仪）输入的相同脚本是由服务器返回的，但未在标头中进行清理。在这种情况下，脚本在标头中返回，因此我们的扫描程序标记了该漏洞。

这是我从终端运行的重复此测试：

GET /?osCsid=%22%3E%3Ciframe%20src=foo%3E%3C/iframe%3E HTTP/1.0 主机：（已删除）

此问题的解决方案是清理用户对这些类型的请求的输入，确保不会在标题或页面上返回可能触发可执行脚本的字符。

首先，我无法得到测试人员所做的结果，它只返回一个不包含位置的 200 标头，也不会返回对象移动页面。其次，我不确定如何（在 iis 6 上）阻止它返回包含查询字符串的标题！最后，为什么标头中的代码很重要，浏览器肯定不会实际执行来自 http 标头的代码？

我正在尝试为客户建立一个电子商务网站，并且 PCI 合规性已经出现。我很难在网上找到具体的例子......

假设我在标准的 bluehost 帐户 w ssl 上为小型非营利组织（<5000 xactions/yr）经营一家 magento 商店。我使用 authorize.net 作为支付网关。

我不相信 magento 将信用卡号存储在其数据库中。因此，当用户提交订单时，它会通过 SSL 传递到 bluehost 的服务器，由 authorize.net 处理，然后被遗忘。

Bluehost 支持所有系统上的 PCI A 和 B 合规性... http://helpdesk.bluehost.com/index.php/kb/article/000512

我有任何 PCI 问题吗？

如果是这样 - 关于我可以改变什么的任何建议？不同的托管服务。

谢谢！

（PS 我知道将用户重定向到贝宝可以解决所有问题，但没有人想要那样）