问题标签 [pci-compliance]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

319 问题
Newest
Active
Bountied
318
Unanswered
0 投票
4 回答
340 浏览

security - 这种设置是否符合 PCI 标准?

我一直在与拒绝采用 PCI 标准的客户进行辩论。我想与社区核实,以确保我的反对意见是正确的。

问题:有没有办法将信用卡信息存储在共享托管服务器上并符合 PCI 标准?

这是设置:

1) SSL 正在为整个结帐过程和客户网站的管理部分实施。

2)信用卡信息存储在MYSQL数据库中的服务器(共享主机计划)上。它是加密的。

3) 客户访问受密码保护的管理面板并从她的网站打印信用卡。

4) 客户端然后通过终端手动运行信用卡信息并从服务器中删除该信用卡信息。

0 投票
2 回答
2135 浏览

php - PHP、PCI 合规性问题:如何?

我对 PCI 合规性有疑问。基本上,他们希望我在该字段https://所在的每个页面上添加。password这有点奇怪。

我的表格index.php看起来像:

我试图发布到 https:<form method=post action="https://test.com/login.php" id="login">但测试它仍然失败。

我应该如何解决这个问题?

0 投票
2 回答
57 浏览

security - 如何使用表单建立安全的页面传输?

我有index.php并且我有一个登录表单:

如何确保通过安全线路处理表单?

我必须添加https://吗?

有任何想法吗?

谢谢。

0 投票
0 回答
458 浏览

encryption - PCI - 安全地存储加密密钥,要求 3.4

来自 PCI DSS2 文档: https ://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

3.4.1.b 验证加密密钥是否安全存储(例如,存储在通过强访问控制得到充分保护的可移动媒体上)。

我们正在使用一个批处理履行公司,每 24 小时处理一次信用卡数据。这要求我们将客户信用卡数据存储长达一周,最坏的情况是如果出现中断等情况。

在此期间,我们希望尽可能安全地存储存储的抄送信息。我已经看到了使用存储在拇指驱动器上的密钥加密存储数据的设置,该拇指驱动器每晚连接以运行批处理,但这是一种非常脆弱和手动处理批处理的方法。当然有更好的方法来存储密钥,但要保护它免受黑客访问机器或利用机器上安装的软件。

没有这个手动过程存储密钥的最佳方法是什么?

0 投票
2 回答
1942 浏览

mysql - PCI 合规性 - 存储计费数据

我正在开发一个购物车,如果可能的话,想存储:

姓名 帐单地址 邮政编码

进入 MySQL 数据库。这很好,因为回头客不必在每次结账时重新输入帐单信息。我不会存储任何信用卡数据。

我这样做会违反 PCI 标准吗?

0 投票
1 回答
750 浏览

php - Pci 合规性跨站点脚本 - 联系表

长期看客,第一次发帖。我是 php 新手,希望有人能提供帮助。我使用本网站的联系表格 Tutorial Stag Contact Form Php Ajax Jquery遇到了 pci 合规问题。我想知道我需要做什么才能合规,我使用控制扫描运行代码,这是返回的内容:

在进行大量谷歌搜索时,我迷失了应该添加的内容以解决问题。网站上的代码正是我使用的。你们能帮我解决这个问题吗?如果您访问该网站,您将能够查看完整的代码并帮助我,我将不胜感激!

0 投票
1 回答
1164 浏览

php - PHP 在本地文件上模拟 POST 数据

我知道 cURL 主要用于从远程站点获取数据。您是否应该使用 cURL 从使用 POST 数据的本地 url 获取数据?

例如,我有一个页面显示收据。我用它来发送 html 电子邮件,如果他们的电子邮件客户端显示不正确,客户也可以在浏览器中查看收据。

如果 POST 持卡人数据存在,它将在收据中显示名字、姓氏、地址、城市、州、邮编、电话、电子邮件和付款方式。

我使用 file_get_contents() 函数来检索该网页并发送电子邮件。问题:这样做时不存在 POST 数据,因此如果您是收到收据电子邮件的人,您的帐单信息将不会出现在其中。没有办法证明收据确实是你的。

我试图遵守 PCI 标准,所以我试图避免将持卡人数据存储在会话或数据库表中。

0 投票
1 回答
944 浏览

php - 如何使用 PHP 创建不可预测的 Cookie 会话 ID

我有一个需要通过 PCI 合规性的站点。

使用 Magento 1.5.1(Magento 是基于 PHP 的系统)的站点和 PCI 兼容失败是可预测的 Cookie 会话 ID。

我假设这意味着他们希望 Magento 中名为“前端”的 cookie 更改为随机 UUID。我认为这可以在不修改或扩展核心的情况下完成,但我找不到执行此操作的设置。

想法?

以下是漏洞描述:

远程 Web 应用程序使用可预测的基于 cookie 的会话 ID。理想情况下,会话 ID 是随机生成的数字,攻击者无法猜到。如果会话 ID 是可预测的,则攻击者可以劫持活动受害者的

0 投票
2 回答
460 浏览

paypal - 我的桌面应用程序是否在 PCI 认证范围内?

我有一个专门在桌面上运行的支付处理客户端。操作员输入支付数据并单击一个按钮,我的应用程序通过安全通道将数据发送到支付网关。我的应用从不存储敏感的支付数据,尽管它会加密并保存商家的网关登录信息。

我在范围内吗?如果我是,当以相同的方式执行完全相同的功能时,为什么网络浏览器超出范围?

0 投票
3 回答
474 浏览

encryption - 如何通过加密文本执行通配符搜索?

我们有一个拥有大量用户的网站,由于 PCI 合规性问题,我们必须加密存储他们的名称(我们使用河豚)。现在我们需要在管理面板中通过他们的名字有一个通配符搜索功能,我们不能以“查询中”的方式解密。

有什么通用的解决方案来解决这个问题?


12345678910