问题标签 [pci-compliance]

我想在 Windows Azure 上托管一个应用程序，该应用程序存储按月付费购买订阅的用户的信用卡信息。我只需要尽可能安全地存储卡数据（加密、加盐、经常更新数据库密码、使用 HTTPS 等等）

我相信我需要符合 PCI 才能存储此类信息。我的问题是 Azure 可以让我实现这一目标吗？我有哪些选择？Azure 上的应用程序可以处理信用卡付款吗？

我有一个带有 IIS 的 Coldfusion 9.0.2 的 64 位服务器，我们最新的 PCI 合规性服务器扫描返回以下错误为“紧急”

统一 eWave ServletExec 3.0C UploadServlet 非特权文件上传

• 这是Coldfusion的一部分吗？或 II。
• 删除它是否安全？
• 我该如何删除它？

抱歉，这不是发布此内容的正确论坛，但我的想法已经不多了。我们最近购买了一台新的专用服务器（运行 Windows Web Server 2008 R2）。我们的一位客户试图获得 PCI 合规性。服务器是最新的，我们已经关闭了所有不需要的端口和漏洞。但该网站一直未能通过其中一项测试。我将粘贴失败消息：

标题：易受攻击的 Web 程序（新加坡） 影响：远程攻击者可以执行任意命令、创建或覆盖文件，或者查看 Web 服务器上的文件或目录。

数据发送：

收到的数据：

新加坡图库应用程序受到多个漏洞的影响。新加坡 0.10 及更早版本受这些漏洞影响： index.php 中的目录遍历允许对应用程序目录中的敏感文件进行未经授权的读取访问，例如包含加密密码的 users.csv.php 文件 index.php 中的跨站点脚本能力获取安装路径 Singapore 0.9.10 及更早版本均受这些漏洞影响。thumb.php 中的目录遍历允许对应用程序目录中的敏感文件（例如 users.csv）进行未经授权的读取访问。

风险因素：高/CVSS2 基本评分：7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2004-1408 BID: 11990 18518 其他 CVE: CVE -2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195

我不知道这是关于什么的。我们不使用这个“新加坡”应用程序，我们根本不在服务器上运行 php。

有人可以对此提出任何建议吗？我会非常感激任何建议。

谢谢。

如何为我的项目编写内部漏洞扫描报告？
我必须使用工具来生成此报告吗？我在网上搜索了与此相关的内容，但我一直无法理解。

我目前正在为需要支付网关的小型企业建立一个网站（我们可能会使用 Authorize.Net）。问题是，在许多订单中，有计算运输和处理成本的特殊需求。这要求我们向客户开具账单，而不是立即为订单开具账单。

我的问题是，是否可以让 Authorize.Net 或相关服务只存储信用卡数据而不进行处理，我们输入账单总额以供稍后处理？

感谢您对此的意见。欢迎所有建议。

There are plenty of log reporting tool but I am having trouble on choosing. Can anyone advice me a tool for audit-log monitoring?

我的一个客户在 godaddy 共享主机上运行一个电子商务商店。他们正试图通过 pci 合规性，唯一的问题是默认的 apache 图标文件夹允许它被索引。此文件夹不在我的网络根目录中。所以我无权访问它。我已经尝试过 htaccess 重写，但它不起作用。任何人都知道任何其他解决方案？

I have bought PCI Compliant Security Policies and Procedures document from pcipolicy. Their written policies are ok.However, document does not help me on procedures. They just give the same suggestions with the https://www.pcisecuritystandards.org/

My question is anyone ever purchase them and how good are they? I am interested in purchasing documents from pcipolicyportal, do you suggest?

我想使用贝宝支付网关实现支付机制，以下是要求。

1. 定期计费 [每月]。
2. 系统应该接受卡 [非贝宝用户应该能够进行定期付款]

我经历了样本中给出的各种方法。

1. DoDirect 付款：解决方案必须符合 PCI 标准[我真的不确定我应该注意什么。]
2. Express Checkout : 这不满足我的第二个要求，即买家必须有 Paypal 帐户 [如果我在这里错了请纠正我]

我也遇到了许多其他解决方案，例如“Website Payments Pro Hosted Solution”。另一个发现是：使用经常性付款和直接付款可能会产生额外费用。

任何人都可以建议我更简单的方法来满足上述要求，即信用卡支持、定期付款并且没有与 PCI 合规性相关的问题。

谢谢，

我负责管理一个需要遵守 PCI 准则的站点。经过前一段时间的大量工作，它终于通过了PCI安全检查。最近它又开始失败了。我怀疑这是因为在安全检查中添加了新测试。

检查现在抱怨的是代码注入网站的可能性。这是其中一件事的一个例子：

如果您使用 Firebug 查看源代码，您会看到它是对我的代码执行此操作的：

行。本身无害，但我可以看到他们在做什么。

他们还提供了其他非常相似的示例，但它们都是同一行。

你怎么能真正防止这种事情呢？而且，有害吗？

提前致谢。