问题标签 [pci-compliance]

我工作的公司将接收表格的扫描图像，我们将从这些表格中收集数据（放入 XML 文件） 信用卡号码将被写入表格，但我们不会收集该数据或处理付款。

在这种情况下，是否适用 PCI 标准？没有包含该号码的实际数据文件，但任何查看图像的人都可以轻松获得信用卡号码。持卡人姓名将出现，没有安全代码。不知道是否包括到期日。

我认为我们属于服务提供商的定义，对我来说，SAQ-D 似乎最有可能适用。所讨论的环境不能满足 SAQ-D 中的所有要求。

从我所读到的内容中，我的观点是这些要求适用，但即使它们不适用，我们为什么不尝试遵循它们呢？我上面的人认为只要我们定期删除图像就可以了。

我将不胜感激任何输入、链接、PCI-DSS 文档的相关部分等，无论是支持还是反对在这种情况下遵循标准。

我读过几篇文章，说要拥有符合 PCI 的云解决方案，您需要拥有私有云环境并且不能使用谷歌应用引擎。是否可以创建一个符合 PCI 标准的网站，专门在谷歌应用引擎应用程序中存储信用卡信息和个人用户数据。请列出事实的、非深奥的原因为什么这可能是不可能的，或者列出需要并且可以由应用引擎开发人员完成的高级任务指令。

我正在考虑如何在我的 Rails 应用程序上开发验证，该应用程序基本上检查以确保任何用户用于任何给定交易的信用卡在我们的系统中是唯一的，这样所有信用卡都可以用于购买物品在整个应用程序中为所有用户只使用一次，永远。

这个限制背后的想法是这个应用程序有时会运行时间敏感的促销交易，我们希望尽最大努力为这些交易建立“一张信用卡购买”系统。

我正在考虑对信用卡号进行哈希处理并将该哈希存储在数据库中，然后在每次新购买时交叉引用它（所以我的支付网关保留实际数字，我只是在数据库中保留一个哈希） ，但在进一步的研究中，这似乎是个坏主意。

所以我回到了绘图板并寻找新的想法。任何人都知道解决这个问题的好方法，同时尽可能保持 PCI 兼容？

我正在使用 Rails 3 进行开发，并使用 ActiveMerchant 与我的支付网关 Authorize.net 集成，如果这有帮助的话。

我有一个 WPF 应用程序，我们已将信用卡处理集成到其中。我们目前正在 WPF Web 浏览器中将信用信息刷入/输入到网页中，以满足 PCI 合规性。显然这没问题，因为 Web 浏览器组件是 PCI 兼容的，而且我们的代码从不处理信用卡信息。

我非常讨厌这种设计，并且很想编写一个独立的、符合 PCI 的 WPF 控件/程序集，我们可以插入它而不是 Web 浏览器组件。如果我们的应用程序的代码可以使用浏览器而无需经过 PCI 认证，那么它可以使用我们自己的经过 PCI 认证的程序集而无需经过 PCI 认证，对吗？它所做的所有新控制/组装都是收集卡信息，并通过 WCF 服务将其安全地发送到远程安全服务器。它不会在本地存储信用卡或对其进行任何处理。有人告诉我这样做需要 9 个月的审查过程，这就是我们采用浏览器方法的原因。

有人可以给我一个大致的想法吗？

• 可以用 C#/WPF 编写吗？
• 代码是否必须实施特殊的安全措施（如 CAS）？
• 程序集是否必须被混淆？
• 一旦写好了，那你该怎么办？

现成的 ASP.net Membership Provider 和表似乎不符合 PCI。是否有人已经为 ASP.net 实施了 PCI-Compliant Membership Provider？特别是，我正在查看第 8.5 节的要求：

• 8.5.2：是否在对通过非面对面方式提出的用户请求执行密码重置之前验证用户身份？

  为此，我正在考虑一封带有重置令牌的电子邮件，有效期不超过 X 小时。默认提供程序只是生成一个随机值并通过电子邮件发送（尽管我们可以启用安全问题/答案来满足此要求）。

• 8.5.5：超过 90 天的非活动用户帐户是否被删除或禁用？

  默认提供程序不支持此操作。在允许登录尝试继续之前，我们可以绑定到 OnLoggingIn 进行一些检查。

• 8.5.9：使用密码是否至少每 90 天更改一次？

  应该能够检查这个 OnLoggedIn。如果上次密码日期 > 90，则重定向到密码更改表单而不是所需内容。

• 8.5.12: 个人必须提交与他或她最近使用的四个密码中的任何一个不同的新密码吗？

  我不相信默认提供者的成员资格表支持这一点。我们可以添加一个密码历史表，并在每次有人创建新密码时添加一个条目。然后可以在 ChangePassword 控件的 OnChangingPassword 事件中检查这些内容。

我自己完全有能力做到这一点，但如果已经有一些东西，我想利用它。

我试图找出一个解决方案来解决我在一个新项目中遇到的“鸡和蛋”问题。

有问题的系统正在处理信用卡数据，因此卡号等需要加密存储在数据库中。为了符合 PCI 要求，我们为每个“商户”使用唯一的密钥对加密了数字，因此如果一个商户受到威胁，则应该无法访问另一个商户的持卡人数据。

当涉及到人类与系统的交互时，这很好，因为人类可以输入密码来解锁私钥，然后解密数据，但是当涉及需要访问数据的自动化服务时（即处理交易在以后的日期）如何最好地向服务/守护进程提供凭据存在问题。

系统的一些背景知识：

• 卡号使用非对称密钥对加密
• 私钥受密码保护
• 然后使用“主”密钥对加密此密码
• 然后，获得许可的操作员知道解锁主私钥的密码（实际上，他们使用自己的密钥对加密了它的副本，他们只知道密码）。
• 守护进程将作为自己的用户和组在 linux 系统上运行。

为了使守护程序能够解密数据，我正在考虑以下内容：

• 设置一个类似于.pgpass工作方式的密码短语文件
• 将文件存储在守护程序用户的主目录中
• 将文件的权限设置为 0600
• 设置文件完整性监控系统，例如 Tripwire，以通知安全组（或类似的）文件或权限的任何更改。
• 禁用守护程序用户的登录，因为它仅用于进程。

鉴于上述情况，我想知道这是否足够。显然，弱点在于系统管理员 - 在安全系统上受信任的这些（即 2 个）很少 - 因为他们可以提升他们的权限（即 root），然后更改文件的所有权或能够读取的权限密码 - 然而，这很可能再次通过监视文件的校验和更改、FIM 校验和等来缓解。

那么我是以错误的方式解决这个问题，还是有其他关于如何处理这个问题的建议？

我们正在尝试在 AWS 上的负载平衡 EC2 实例上实现 PCI 合规性。我们必须解决的一个问题是我们的负载均衡器接受弱密码。但是，ELB 不支持密码套件，所以我必须手动设置每个密码。问题是，我找不到符合强密码条件的列表。例如，此设置转换为哪些密码：

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

很难找到这些信息，而且亚马逊没有默认的 PCI 兼容设置（这看起来很愚蠢——他们有两个默认策略，为什么不设置第三个称为“强 PCI”之类的）。

我试图弄清楚将 Paypal 集成到我的 iPhone 应用程序时应该采用哪种方法。目前我没有在我的应用程序中使用任何 Paypal 库。相反，我使用 UIWebview 打开 Paypal 网站的 url，并让客户从他们那里结帐，类似于：点击这里！我想知道使用 Mobile Express Checkout Library 或 Mobile Payment Libraries 是否属于 PCI 投诉。我在哪里可以找到在 Paypal 网站或开发者网站上说明这一点的文档。

我们有一个电子商务网站，它一直通过支付网关集成接受付款，这些集成将控制权转移到支付网关。业界公认的事实是，接受信用卡信息并在我们的网站上处理交易会带来更好的转换（更少的流失），但这意味着我们需要符合 PCI 标准。我读到了条带支付网关及其提供的集成（通过 stripe.js），避免了 PCI 合规性负担。是否有我在这里遗漏的潜在问题，因为我没有读过其他支付网关的类似内容。或者是条带领先于曲线，或者是否有其他/新的支付网关提供这种集成。

有人知道 Apache Tomcat（最新版本）是否符合 PCI 标准？如果是这样（或者如果不是），您能否 - 请 - 提供一些链接来支持肯定/否定？

提前致谢