问题标签 [pci-dss]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
9 回答
25711 浏览

security - 支付处理器 - 如果我想在我的网站上接受信用卡,我需要知道什么?

这个问题讨论了不同的支付处理器以及它们的成本,但我正在寻找如果我想接受信用卡支付我需要做什么的答案?

假设我需要为客户存储信用卡号,因此依赖信用卡处理器完成繁重工作的明显解决方案不可用。

PCI 数据安全,这显然是存储信用卡信息的标准,有很多通用要求,但是如何实现它们呢?

那么像Visa这样拥有自己最佳实践的供应商呢?

我需要有钥匙扣访问机器吗?如何在物理上保护它免受建筑物中的黑客攻击?或者,如果有人拿到了带有 sql server 数据文件的备份文件怎么办?

备份呢?周围是否有该数据的其他物理副本?

提示:如果您有一个商家帐户,您应该协商他们向您收取“交换加价”而不是分层定价。 通过分层定价,他们将根据使用的 Visa/MC 类型向您收取不同的费率——即。他们向您收取更多附加有丰厚奖励的卡。交换加计费意味着您只需向处理器支付 Visa/MC 向他们收取的费用,外加固定费用。(Amex 和 Discover 直接向商家收取自己的费率,因此这不适用于这些卡。您会发现 Amex 费率在 3% 范围内,而 Discover 可能低至 1%。Visa/MC 在2% 的范围)。 该服务应该为您进行谈判(我没有使用它,这不是广告,我不隶属于该网站,

这篇博客文章提供了处理信用卡的完整纲要(特别是针对英国)。


也许我用错了这个问题,但我正在寻找这样的提示:

  1. 使用SecurIDeToken将额外的密码层添加到物理框。
  2. 确保盒子在带有物理锁或钥匙密码组合的房间内。
0 投票
4 回答
611 浏览

javascript - 有什么方法可以代替 JS hack 让我从 iframe 发布到 iframe 之外的另一个页面?

有什么方法可以代替 JS hack 让我从 iframe 发布到 iframe 之外的另一个页面?

iframe 正在将数据发布到第 3 方,然后仅使用作为重定向 URl 的 URL 进行响应,因此我们无法设置表单目标。我们符合 PCI 标准,因此我们不能使用window.parent.location = url;

0 投票
10 回答
17381 浏览

c# - 存储信用卡详细信息

我有一个业务需求,迫使我在短时间内存储客户的完整信用卡详细信息(号码、姓名、到期日、CVV2)。

理由:如果客户打电话订购产品并且他们的信用卡当场被拒绝,您可能会失去销售。如果您获取他们的详细信息,感谢他们的交易,然后发现卡被拒绝,您可以给他们回电话,他们更有可能找到另一种支付产品的方式。如果信用卡被接受,您将清除订单中的详细信息。

我无法改变这一点。现有系统以明文形式存储信用卡详细信息,而在我正在构建的新系统中,我显然不会复制它!

那么,我的问题是如何在短时间内安全地存储信用卡。我显然想要某种加密,但是最好的方法是什么?

环境:C#、WinForms、SQL-Server。

0 投票
2 回答
461 浏览

asp-classic - 如何使用 PCI 标准在 ASP 网页中显示我的 SSN id

在我的 ASP 网页中,我正在显示 SSN 号码

" 名称 ="txtSSNID" 大小 ="20">

Fortify Developer 工具将此检测为错误。我该如何解决这个问题。

我需要显示 SSN 编号,但问题是在 Fortify 开发人员工具中测试安全违规时不应捕获它

0 投票
2 回答
5376 浏览

security - 如何检查我的 Web 服务器上的 SSL 漏洞?

是否有简单的方法或在线工具来检查站点的 SSL 漏洞问题?

PCI标准中,我看到一个站点必须强制使用 SSLv3 或 TLSv1 协议和高安全性加密算法。我需要检查我的站点是否符合那些 PCI DSS 标准。

0 投票
5 回答
408 浏览

sql-server - 存储在数据库文件中的旧数据

如何确保我从 db 表中删除的所有数据不再存储在硬盘上的 mdb 文件(和其他文件)中?

这是我的情况:
我的客户曾经在他们的数据库(SQL Server)中存储未加密的信用卡数据。由于 PCI 的要求,他们现在对所有数据进行加密......但是,mdb 文件仍然有一些旧的、未加密的 CC 写入其中。
我们已经验证数据库中没有更多的 CC;我们已经压缩了数据库;我们已将其备份到一个文件并重新将其恢复到一个新数据库;我们甚至运行了 sp_cleandb。
然而,当我们分析磁盘上的持久文件时,我们仍然发现了一些未加密的 CC——它们没有存储在数据库中,它们不是 SP、视图或 UDF 的一部分,并且它们不会出现在任何表元数据中。

所以,我的问题 - 我怎样才能确保所有“坏”的 CC 数据都消失了?或者,更一般地说,我如何强制 MSSQL 仅存储当前数据,并从任何“垃圾”中清除文件?

0 投票
5 回答
221 浏览

security - 开发人员花多少时间查看日志?

PCI/DSS 有一项要求,即应至少每天检查应用程序日志的安全事件。大多数网络/基础设施专业人员可以查看网络设备日志,但不熟悉实际应用程序。对于大多数安全专业人员来说也是如此。

那么,开发人员真的在加紧满足这一要求吗?如果你必须为一个唯一的工作是审查日志的开发人员写一份工作描述,它会包含什么?

0 投票
3 回答
668 浏览

security - PCI/DSS:静态数据

您会考虑在静态数据类别中使用缓存产品吗?

0 投票
3 回答
1234 浏览

asp.net - 信用卡 - 档案服务卡?

有没有人有任何信用卡档案服务的经验,可以处理信用卡信息的存储以进行持续购买?

我们正在寻找一种解决方案,该解决方案可以通过 Web 服务或类似方式与自定义 ASP.NET 应用程序集成,但从我们的等式中删除信息的存储,以降低风险并解决 PCI 合规性问题。

我们需要一种解决方案,使我们能够为卡通系统以不同的金额进行持续计费,而不是每月定期进行固定订阅计费。

0 投票
7 回答
5792 浏览

php - 在不处理的情况下在线获取信用卡信息——如何最好地做到这一点?

我收到了一些客户的请求,他们希望在线获取客户的信用卡号,然后在终端的 POS 处处理店内付款。我想知道这样做的最佳方法是什么。

我不想以纯文本形式将信用卡号存储在服务器上,也不想发送带有纯文本数字的电子邮件。

客户不想注册在线支付账户,因为在线支付处理器的成本更高且额外。此外,两个客户都不能在线收费,因为总额可能会因为缺货产品或客户要求的问题而改变。

我还有什么其他选择?

我将使用 PHP。如果规则对我应该使用哪种方法有任何影响,我也在加拿大。