问题标签 [pci-compliance]

是否认为详细 ClickOnce 日志记录符合PCI DSS 2.0要求 10.2.7，至少就其内容（要求 10.3）而言？

(10.2) 对所有系统组件实施自动审计跟踪以重建以下事件： (10.2.7) 系统级对象的创建和删除

这种日志记录的分析样本将特别有用。

询问用户正在输入什么类型的信用卡或尝试使用正则表达式自动检测卡类型更好吗？

一些在线商家会在下拉菜单中明确询问信用卡类型（Visa、Mastercard、Amex 等）。而其他人，包括亚马逊和 GitHub，从不明确询问，而是依靠卡的属性来确定卡号。

依赖卡类型自动检测的一个问题是信用卡正则表达式模式似乎需要随着时间的推移而更新。因此，这些正则表达式模式可能需要不断更新以保持准确并防止模式中出现漏洞。

明确询问用户卡类型或尝试自动检测卡类型哪个更好？还有其他考虑吗？

我了解 PCI 合规性不仅会影响卡详细信息的存储，还会影响传输。例如，如果我只是想收集一个卡号并通过 https 传输它，这是否需要采取 PCI 合规步骤？

我有一个 PHP 站点在 PCI 合规性上失败，我得到的唯一错误是

Microsoft ASP.NET ValidateRequest 过滤器绕过跨站点脚本漏洞

这是 IIS 上的 PHP 站点。我该怎么做才能使这个网站通过 PCI 测试。

嘿，我在尝试使用我的 ASP.net 页面比较数据库中的密码时遇到此错误。

此实现不是 Windows 平台 FIPS 验证的加密算法的一部分。

代码如下所示：

我们最近不得不更新/锁定我们的服务器以符合安全漏洞等。但是这样做会导致我们在同一服务器上托管的其中一个网站出现此错误。在所有这些安全设置之前，网站运行良好。

奇怪的是，我能够在 VS 2010 中本地运行网站（调试模式），而且效果很好。完全没有错误。

在我们添加所有这些安全设置以进行投诉之前，是否有人对如何解决此问题以使网站再次运行有任何提示？我们不能只是禁用它，因为这会导致我们的其他网站不合规。

我已经尝试过这些页面上的建议：http: //blogs.msdn.com/b/brijs/archive/2010/08/10/issue-getting-this-implementation-is-not-part-of-the -windows-platform-fips-validated-cryptographic-algorithms-exception-while-building-outlook-vsto-add-in-vs-2010.aspx

http://social.msdn.microsoft.com/Forums/en/clr/thread/7a62c936-b3cc-4493-a3cd-cc5fd18b6b2a

http://support.microsoft.com/kb/935434

http://blogs.iis.net/webtopics/archive/2009/07/20/parser-error-message-this-implementation-is-not-part-of-the-windows-platform-fips-validated-cryptographic-算法-当-net-page-has-debug-true.aspx

http://blog.aggregatedintelligence.com/2007/10/fips-validated-cryptographic-algorithms.html

谢谢。

也尝试使用此代码

错误是：

从字符串“S51998Dg5”到类型“Integer”的转换无效。

并且该错误在线：Dim data(p) As Byte

作为 PCI 合规性测试的一部分，我们发现使用传输级安全和证书保护的 WCF net.tcp 端点允许 SSLv2 连接。我们的服务是自托管的，因此我们不使用 IIS 来托管它们，因此我认为基于 IIS 的解决方案不会起作用。

在浏览了很多 MSDN 页面之后，我们还没有找到一种方法来告诉 WCF 连接使用什么版本的 SSL。

我们要求连接仅接受 SSLv3 而不是 SSLv2 以符合 PCI 标准。

有谁知道如何在 WCF 连接（主机和客户端）上设置强制 SSL 版本，或者是否有关于如何为整个 Windows 机器执行此操作的边界方法？

我被要求为接受付款的客户设置一些注册表单，类似于本网站 ( https://www.martialartstechnologies.com/register?tournamentID=82 )。我是 Authorize.net 的经销商，但有时在客户发现他们需要符合 PCI 标准后，我发现他们很难注册。我正在考虑创建一个符合 PCI 标准的站点域，然后在他们自己的个人子域中运行每个客户的注册页面。如果我这样做，该域上的 PCI 合规性是否对每个子域都无效，还是仍会被覆盖？

我目前正在将支付网关集成到我们的商家页面。我们预计每月在我们的网站上进行大约 100000 到 50 万次交易。我们的付款页面上有 SSL 证书。SagePay 和 Cyber​​Source 等价于最大支付页面定制是 Direct 和 SOAP API，这让我可以在我的服务器上托管支付页面来收集支付信息。

我唯一担心的是我将这些支付信息发布到我的服务器，然后再将其发送到相应的支付网关。我没有将它存储在会话或数据库中。我们所有的帖子 URL 都经过 SSL 认证。

根据 PCI 合规性，如果我从我的服务器传输支付数据，我应该每年进行 PCI 审计，安全评估员将进行远程测试和内部测试。

显然，这将是昂贵的。

如果我遵循 SagePay Direct 集成或 Cyber​​Source SOAP API 文档，是否需要 PCI 合规性？

很抱歉成为害虫。我知道这个问题存在于整个社区。但是对于我的特定集成方法，我看不到令人信服的答案。

从专业的支付安全顾问那里得到答案将是惊人的。

亲切的问候，

我正在尝试找到一种方法来在为经典 ASP 站点自动生成的 ASPSESSIONID cookie 上启用 HTTPONLY。我知道 .NET 2.0+ 站点的 ASP 会话 cookie 默认为 HTTPONLY，但我需要为经典 ASP 配置它。我曾尝试使用 HTTPONLY.dll 过滤器，但该 ISAPI 过滤器仅适用于手动创建的 cookie。

在这一点上，使用 F5 不是一个选项。请让我知道是否有一种方法可以在不升级到 IIS7 且仅使用 IIS6 的情况下执行此操作。谢谢。

像我五岁一样向我解释，大声笑。作为一名 web 开发人员，我只使用传统的 websetup：我有一个 Java 应用程序，我将它部署到某处的服务器，然后使用 web 浏览器连接/测试它。如果需要来回发送敏感信息，例如密码，则使用 SSH 服务器。

现在我已经在 J​​ava Play 中编写了一个 RESTful 应用程序！我想部署到 Amazon EC2 实例上。我一直无法理解 PCI 安全性的概念以及如何将其应用到我的设置中。在这种情况下，我希望 REST 应用程序允许管理功能，因此需要将登录凭据添加到提交给各种 REST 服务的请求中。

在亚马逊 EC2 端和客户端（基于 Jersey 的客户端）上执行此操作的最佳方法是什么。