问题标签 [pci-compliance]

我有一个肥皂网络服务，在合作伙伴和供应商之间提供/携带信息。基本上，WS 是作为这两者之间的集线器的连接器。它在合作伙伴和供应商之间承载和转换数据。它收到来自合作伙伴的订单请求，其中也包含付款数据，然后它将该请求以供应商的格式转换为带有付款数据的格式，并通过他们的系统进行传输。这使得该服务不符合 PCI 标准。我希望有一个介于两者之间的解决方案，它可以帮助我的服务不应该为 PCI 而奋斗，并承担我的责任。是否有任何第三方解决方案可以介于两者之间（我愿意为服务付费）还是我可以自己实现？正如我研究的那样，PCI 需要很多不同的东西，而且成本很高。所以这需要时间和金钱。如果需要，什么可以是快速、短期的解决方案和长期的解决方案？

谢谢。

我正在为有一些非常特殊需求的客户编写销售点应用程序。客户是一家零售店，所以当他们处理信用卡时，他们有一张实体卡，可以刷卡。现在的方式，在结账时，它会向收银员出示总金额，然后收银员将总金额输入信用卡终端（用手-它没有连接到计算机），刷卡到终端，然后在处理付款时，收银员按“信用卡支付”并打印收据。

问题是手动输入总数很费时间并且容易出错。我宁愿让我的程序将金额传输到信用卡终端，然后在交易处理完毕后收到一条消息。我不想接触任何持卡人信息（卡号等），因为我想留在 PCI 之外。我想做的就是发送一个金额并取回“接受”或“拒绝”。你会认为这很常见，但我似乎没有找到信息。（比如authorize.net的刷卡API要求我采集并传输卡号。我不想采集并传输卡号。我想传输一个金额，让别人采集并传输卡号和过程完成后通知我。）

有人对此有解决方案吗？有人使用过 Verifone 或 Ingenico 的硬件吗？我不在乎我是发送通过 USB 连接的物理终端的编号还是发送到虚拟软件终端。我只是不想自己成为终端，所以我不在卡片数据链中的任何位置。

基本上我正在一个处理信用卡的网站上工作。但是，当进行交易/收费时，我想将有关信用卡的信息存储在数据库中。

现在，我一直在考虑存储前 4 个和后 4 个数字以及到期日期。但我不会将它存储在计划文本中，我创建了自己的加密方法。

这足够安全吗？

我有一个包含信用卡相关字段的 html 表单。如果这些字段被发回，我需要符合 PCI 吗？即使我不会在服务器上读取或存储它们。

因此，经过大量在线研究后，我来到了一个我知道有人可以帮助我的地方！

我们有一个网站将通过 PayPal 的 Classic API 接受信用卡付款。更具体地说，我们将接受信用卡进行定期付款。我知道我必须符合 PCI，在今天与 PayPal 交谈后，我被告知（书面）：

“一旦您的帐户在过去 3 周内处理了超过 20 笔交易（或一年内处理了 100 笔交易），您就可以在 Trustwave 注册以符合 PCI 标准。”

而且我

“在达到这些水平之前不需要证明你的合规性”

不知道它是什么，但有些东西不适合我。主要是，我认为我应该从一开始就符合 PCI 标准。我认为他们的意思是在那之前我不需要证明任何东西，但我应该符合 PCI 标准。

如果有人能在这方面给我一些指导，那就太好了。以下是关于我们的情况的更多信息：

1. 我们不会在我们运行的任何系统上存储任何客户卡的详细信息。
2. 我们通过常规的旧 HTML POST 表单将详细信息发送到 PayPal API。
3. 定期付款不允许使用 Paypal 托管的解决方案，因此我们需要通过自己的表单来完成。

我确定我在这里遗漏了一些东西，但知道这里的某个人会有经验/能够为我指明正确的方向！

干杯伙计们！

我正在检查 PCI 合规性检查表，需要在 Apache 上为一个 PHP 网站禁用 HTTP TRACK 和 TRACE 方法。如何可靠地做到这一点？

我已在 TrustWave 上扫描了我的网站以了解 PCI 合规性并发现此错误

我的网站在 Apache Server 2.4.4（在 XAMPP 上）上的 Windows Server 2008 R2 Enterprise 上运行

以下链接是修复此问题的补丁，但无法找到要编辑的文件的位置

根据http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2249的建议

任何人都可以指导我吗？

此致 ！

我有一个客户想通过电话自动接受信用卡付款。虽然通常我会使用 Stripe 之类的东西来处理信用卡，但我认识到最终我必须将信用卡信息临时存储在我的服务器上以将其传递给我的处理器，更重要的是，无论我使用什么语音服务正在使用（如 Twilio）的用户也会看到该信息，并且必须符合 PCI 标准。

问题：

是否有任何符合 PCI 的语音 API 提供程序（如 Twilio）？如果没有，怎么可能创建这样一个设置，让我可以通过电话自动接受信用卡？

我一定只是遗漏了一些简单的东西，但我一生都无法弄清楚为什么一个站点无法通过 PCI 扫描。它特别失败了“通过 IIS NTLM 身份验证方案可能的帐户蛮力”。

我在网上搜索过，结果很平。我确实找到的一件事是：https ://sites.google.com/site/pcidssadventures/remediation/86693

也就是说，要确保将本地策略“下次更改密码时不存储 LAN Manager 哈希值”设置为“启用”。它已经是。

我已通过界面和 apphostconfig 确认 WindowsAuthentication 已禁用，但扫描仍然失败，并且显然出于正当原因失败 - 它返回 NTLM 错误代码。

我唯一的假设是，即使 NTLM 关闭，IIS 仍然以某种方式响应 NTLM 尝试。任何人都知道我可以如何防止这种情况发生？任何人？

提前致谢。

标准 Amazon EC2 云服务器是否符合 PCI 标准？我刚刚启动了一个实例，我想知道它是否符合商家帐户持有人的 PCI 合规标准。