问题标签 [pci-compliance]

如果我需要存储借记卡信息，必须存储哪些字段？

例如，对于信用卡，字段是

• 卡号
• 到期月/年
• 持卡人姓名
• 邮编（有时）
• CCV（有时）

借记卡呢？我需要存储 PIN 码吗？

在执行 PCI 合规性安全指标扫描时，我收到以下错误消息。有谁知道如何解决这个问题？

我支持一个接受和处理信用卡的 Asp.Net Web 应用程序。但是由于新规则，我需要在输入信用卡号时对其进行屏蔽。因此，如果第一个数字是4，则在输入下一个数字（例如 9）之前它是可见的，然后文本框显示*9。

我能想到的一种方法是使用 JavaScript 和隐藏字段来掩盖关键事件中的信用卡号，并将 CC 存储在隐藏字段中。但我不确定是否有更好的方法。以及如果用户更新现有号码如何处理。

有没有这样做的最佳实践？请记住，我需要这些数字并在处理信用卡之前运行验证，然后处理信用卡并将其存储在数据库中。我已经在数据库中加密了 CC 字段。

任何建议/帮助将不胜感激。

我正在寻找一种开源静态源代码分析工具，可用于对安卓应用程序进行安全测试。我需要确保我的应用程序符合 PCI 标准。
Fortify 就是一个非开源工具的例子。
任何人都可以帮助提供推荐软件的列表吗？

有谁知道第三方将以符合 PCI 的方式存储信用卡和/或 ACH 信息？让它可以查看，然后手动处理？

我查看了 stripe.com，但它看起来像是对卡数据进行标记，我无法检索它。另一个是 Square 但我不知道他们是否也提供这个？

那么您是否知道安全存储符合 PCI 标准的数据的服务，这样我就无需进行审计并做进一步的工作来保护我自己的服务器？

是否有诸如 PCI 兼容数据存储服务之类的东西，您可以在其中登录并获取您需要的信息？

我支持接受和处理信用卡的 C# windows 应用程序。但是由于新规则，我需要在输入信用卡号时对其进行屏蔽。因此，如果第一个数字是 4，则在输入下一个数字（例如 9）之前它是可见的，然后文本框显示 *9。

我曾想过使用 maskedtextbox，但字符都是“*”，但我需要显示最后输入的字符。

有没有这样做的最佳实践？请记住，我需要这些数字并在处理信用卡之前运行验证，然后处理信用卡并将其存储在数据库中。我已经在数据库中加密了 CC 字段。

任何建议/帮助将不胜感激。

我正在评估一些支付网关选项，并正在查看 PayPal 的保险库选项（类似于 Braintree 的保险库）。

我发现，在 Braintree 的保险库存储中，我可以安全地（加密）发送信用卡信息以存储在他们的服务器上，从而避免了 PCI 合规性问题的必要性。

PayPal 的保险库存储 API 是否有类似的方式来发送加密的信用卡信息？我正在查看他们的文档，似乎我需要将未加密的数据发送到他们的保险库。

我做这个假设错了吗？我会非常感兴趣，因为这将使我放弃 Paypal 并使用 Braintree 作为我们的支付网关服务。

提前致谢。

我在一个传统的电子商务平台上工作，并且在处理信用卡号码时注意到了一个惯例。C＃

或在 sql

我认为原因是在将其设置为 null 之前将其从内存中删除，这可能不会删除该值。但这种推理似乎表明 SQL Server 和/或 .NET VM 存在漏洞，仅将其设置为 null 不会完全删除数据，只是说它是可用的。

1. 我的理解正确吗？
2. 今天还需要执行吗？

以下是我们的要求：

1. 汇款到我们用户的信用卡。这是许多支付系统不支持的独特要求。我们基本上需要能够授予奖金/奖励（有点像退款但没有预先购买）。
2. 避免严格的 PCI 合规性要求。 我们可以支付第三方来存储信用卡信息；我们宁愿不处理季度审计。
3. 信用卡表格必须可以翻译成英文、中文、韩文和俄文。
4. 信用卡表格必须出现在我们的网站内，并且看起来像我们网站的其他部分。
5. 收费必须合理。

显然，Moneris 满足除了#3 之外的所有要求。但这对我们来说可能是一个交易破坏者。

知道我应该探索的任何其他网关吗？

我试图找到在客户购买之前唯一识别客户的最佳方法，以确保同一个人不会两次使用优惠券代码。我不打算让我的网站完全符合 PCI 标准，因为我不打算存储信用卡号（只做 POST。）我想生成一个名字与姓氏连接的 SHA 256（单向加密）和信用卡号并将其存储到我的数据库中。这是否需要 PCI 合规性，尽管它是一种单向加密？如果使用名字 + 姓氏 + 信用卡的最后 4 位数字，还需要完全符合 PCI 吗？

谢谢，