问题标签 [pci-compliance]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
pci-dss - 如何修复 IIS 6.0 中支持的 SSL 中等强度密码套件
我们测试了该应用程序的 PCI 合规性,结果出现错误,指出
解决方案如下
谁能帮助我如何使用 IIS 6.0 在 Windows Server 2003 中实现
php - PCI合规的成本?
我们正在开发一种新软件(实际上只是一个 php 脚本),它收集持卡人信息并将其存储在 MySQL 数据库中。显然,我们正在采取一切安全预防措施(防火墙、防病毒、SELinux、限制对机器的访问),但我们正试图了解在实施之前我们需要采取哪些步骤。
由于客户是 4 级商户(没有实际交易,只是存储持卡人信息),我们需要进行哪些扫描才能找到?
显然我们需要扫描服务器/IP,但是收集数据的 php 脚本呢?
html - 不仅从不同的子域,而是从不同的域提供图像(安全)是否符合 PCI 标准?
从不同域(安全地)提供图像是否符合 PCI 标准?我搜索了 PCI DSS 2.0 PDF 并没有找到任何对它的引用。
http - http 页面上的 Https(安全)灯箱登录
在符合 PCI 标准的同时,是否有可能在非安全页面 (http) 上拥有安全 (https) 的灯箱弹出式登录?如果是这样,它会在页面上显示正确的安全图标/锁吗?
credit-card - 如何将信用卡信息提交到单独的服务器/网站 (PCI)
我的公司有一个存储/处理信用卡的网站/服务,并且符合 PCI 标准(站点 A)。我们还有一些带有店面的网站,需要将信用卡数据提交到该站点进行处理(站点 B)。当有人在站点 B 上订购商品并输入他们的账单信息时,我如何将该信息提交给站点 A 并保持 PCI 合规性?
显然,当他们输入帐单详细信息时,他们位于站点 B 上的安全页面上。
我可以将表单从站点 B 的安全页面发布到站点 A 的安全页面吗?在此交易过程中,我是否需要对信用卡进行加密?明明是以某种加密状态存储的,但是在提交交易的过程中是否需要加密呢?
我是否需要在网站之间设置某种握手,比如密钥?如果是这样,创建该密钥/握手的安全方法是什么?
我们一直在阅读和阅读有关 PCI 合规性的内容,试图找到具体的答案,但这似乎有点主观,并且模糊了我们应该做什么。
sql-server - SQL Server 加密 - 为 PCI 合规性旋转密钥
再会,
不确定这个问题是否更适合 SO 或 SF ......
PCI 合规性要求每年轮换密钥。我不断遇到的“密钥轮换”的定义是解密您的数据,然后用新密钥重新加密。真的吗?每个人每年都在解密/加密他们所有的加密数据?
目前,我在 3 台服务器上拥有 16 个数据库,每个数据库中有多个表——而且这将继续增长。手动执行此操作会带来巨大的错误机会,使我的数据无法读取。是的,我可以写一些东西来做到这一点……但这真的是每个人都在做的事情吗?你能推荐一个负担得起的(主观的,我知道)第 3 方工具吗?
我已经看到了一些关于“更改”层次结构中更高级别的键的建议。我们使用经常推荐的数据库主密钥层次结构加密证书,它加密对称密钥,加密数据。
首先,这似乎不符合“轮换密钥”的定义。其次,即使我更改了 DMK 或 Cert,这也不会阻止使用可能是坏人窃取/破解的相同对称密钥对数据进行解密。
谢谢!
apache - 请提供将通过 PCI 合规性扫描的 Apache SSLCipherSuite
我正在尝试让运行 Apache 2.2.17 的 Fedora 14 服务器通过 McAfee ScanAlert 的 PCI-DSS 合规性扫描。我第一次尝试使用在 ssl.conf 中设置的默认 SSLCipherSuite 和 SSLProtocol 指令...
失败,理由是启用了弱密码。使用 ssllabs 和 serversniff 工具进行的扫描显示 40 位和 56 位密钥确实可用。
然后我改成...
并尝试了在各个站点上报告的所有以下字符串,以通过来自各种供应商的 PCI 扫描...
我在更新后重新启动 apache 并且 apachectl configtest 说我的语法没问题。随后的 ScanAlert 扫描均失败,其他扫描工具继续显示 40 位和 56 位密码可用。我尝试将 SSLProtocol 和 SSLCipherSuite 直接添加到 httpd.conf 中的 VirtualHost,但没有帮助。
实际上感觉某处的某些东西正在覆盖这些设置,但除了 ssl.conf 之外,我在任何地方都找不到设置这些值的任何东西。
如果有人可以提供一个已知良好的 SSLCipherSuite,它已经通过了最近的 PCI 扫描,这将有助于追踪我的问题。
谢谢。
ssl - 使用 Play 禁用 SSL 弱密码!框架
有没有办法使用独立的 Play Framework 服务器禁用 https 的弱密码和中等密码套件?
找不到任何关于它的信息。
security - 清理 Tomcat 访问日志条目
在我们的日志中,我们看到信用卡号码是因为人们使用 CC 信息在我们的应用程序中点击了一些 ULR(我不知道他们为什么要这样做)。我们想要清理这些信息(出于 PCI 的考虑),甚至不将其保存到磁盘。
因此,我希望能够在日志条目到达日志文件之前对其进行清理。我一直在研究 Tomcat Valves(访问日志阀)。这是要走的路吗?
php - authorize.net (AIM) API 是否需要 PCI 合规性或任何其他认证?
我想知道这里是否有人使用过 authorize.net“高级集成方法”API。
我已经搜索了他们网站上的常见问题解答,但我似乎无法找到一个直接的答案或在这个时间与他们联系。
我知道 API 需要 SSL(显然),但他们的 TOS 协议是否需要 PCI 合规性或任何类型的认证,前提是您不存储信用卡号?此外,如果有人碰巧知道,他们的 TOS 中是否有任何内容反对将其用于存储商家凭据的应用程序(当然需要明确的商家许可)?
为了澄清,在最后一部分,我说的是存储多个商家(同一服务器)的商家 ID 和交易密钥的 SaS 应用程序。