问题标签 [pci-dss]

是否认为详细 ClickOnce 日志记录符合PCI DSS 2.0要求 10.2.7，至少就其内容（要求 10.3）而言？

(10.2) 对所有系统组件实施自动审计跟踪以重建以下事件： (10.2.7) 系统级对象的创建和删除

这种日志记录的分析样本将特别有用。

我了解 PCI 合规性不仅会影响卡详细信息的存储，还会影响传输。例如，如果我只是想收集一个卡号并通过 https 传输它，这是否需要采取 PCI 合规步骤？

我有一个 PHP 站点在 PCI 合规性上失败，我得到的唯一错误是

Microsoft ASP.NET ValidateRequest 过滤器绕过跨站点脚本漏洞

这是 IIS 上的 PHP 站点。我该怎么做才能使这个网站通过 PCI 测试。

作为 PCI 合规性测试的一部分，我们发现使用传输级安全和证书保护的 WCF net.tcp 端点允许 SSLv2 连接。我们的服务是自托管的，因此我们不使用 IIS 来托管它们，因此我认为基于 IIS 的解决方案不会起作用。

在浏览了很多 MSDN 页面之后，我们还没有找到一种方法来告诉 WCF 连接使用什么版本的 SSL。

我们要求连接仅接受 SSLv3 而不是 SSLv2 以符合 PCI 标准。

有谁知道如何在 WCF 连接（主机和客户端）上设置强制 SSL 版本，或者是否有关于如何为整个 Windows 机器执行此操作的边界方法？

我被要求为接受付款的客户设置一些注册表单，类似于本网站 ( https://www.martialartstechnologies.com/register?tournamentID=82 )。我是 Authorize.net 的经销商，但有时在客户发现他们需要符合 PCI 标准后，我发现他们很难注册。我正在考虑创建一个符合 PCI 标准的站点域，然后在他们自己的个人子域中运行每个客户的注册页面。如果我这样做，该域上的 PCI 合规性是否对每个子域都无效，还是仍会被覆盖？

我目前正在将支付网关集成到我们的商家页面。我们预计每月在我们的网站上进行大约 100000 到 50 万次交易。我们的付款页面上有 SSL 证书。SagePay 和 Cyber​​Source 等价于最大支付页面定制是 Direct 和 SOAP API，这让我可以在我的服务器上托管支付页面来收集支付信息。

我唯一担心的是我将这些支付信息发布到我的服务器，然后再将其发送到相应的支付网关。我没有将它存储在会话或数据库中。我们所有的帖子 URL 都经过 SSL 认证。

根据 PCI 合规性，如果我从我的服务器传输支付数据，我应该每年进行 PCI 审计，安全评估员将进行远程测试和内部测试。

显然，这将是昂贵的。

如果我遵循 SagePay Direct 集成或 Cyber​​Source SOAP API 文档，是否需要 PCI 合规性？

很抱歉成为害虫。我知道这个问题存在于整个社区。但是对于我的特定集成方法，我看不到令人信服的答案。

从专业的支付安全顾问那里得到答案将是惊人的。

亲切的问候，

我正在寻找一种解决方案，该解决方案要求我们捕获并发送客户 PAN 的前 12 位数字，以便启动将由客户在稍后阶段通过外部支付处理器完成的交易。

将生成具有前 12 位数字的事务日志。

从 PCI-DSS 的角度来看，这是否可行，还是需要我们完全遵守 PCI-DSS 要求？

代替在本地保存信用卡信息以进行定期付款，我想我可以向支付网关请求一定金额的授权，然后每月左右多次获取该金额。

一个支付网关的文档说“可以提交捕获的金额等于或小于原始授权的金额”。这有点问题，因为这些经常性付款是可变的（即，您根据您提出的 API 请求数计费，这可能比上个月多或少）。另一个支付网关的文档说，您只能在“原始仅授权交易在前 30 天内提交”时捕获，这让我认为第二次捕获在 60 天后完成（与第一次捕获后的 30 天相比）不会不工作。

根据我所读到的，很多地方通过保存信用卡号（加密）而不是 CVV 来进行定期付款，然后定期收费，他们每个月都会进行新的授权和捕获交易。不过，据我了解，这个问题是保存 CC#，即使是加密的，也需要完全符合 PCI DSS，这在管理上似乎是一个巨大的麻烦，要求诸如“验证对所有审计跟踪的访问被记录”和“验证面向外部技术（例如，无线、防火墙、DNS、邮件）的日志是否已卸载或复制到安全的集中式内部日志服务器或媒体上”。

authorize.net 有一个CIM API，似乎符合要求，但我不知道……我的雇主不想与 authorize.net 合作，所以我想这不在讨论范围内。

有任何想法吗？

我正在用 PHP 构建一个管理器类来管理信用卡支付授权。使用信用卡，我们可以保留First6、last4和。expiration_Monthexpiration_Year

我真的很想知道这 4 个变量的组合有多独特，以及遇到另一个变量的可能性有多大。

取决于何时测试我们是否已经获得新卡的有效授权的可能性有多大。如果我们已经获得了特定卡的授权，则无需再次运行这些号码。相反，我们可以找到已经授权的卡并重新授权。但是，我不想运行错误的卡，因为它有类似First6的last4,expiration_Month和expiration_Year..

我的目标是限制信用卡数据的数据冗余、对 CC 处理器 API 的访问以及对客户卡的不必要授权。

平台级别的 PCI 是否需要使用 VPC ？还是只能由安全组来实现 PCI？

我之所以问这个问题，是因为我从亚马逊那里得到了不同的回答，销售代表表示 VPC 必须符合 PCI 标准，但是一些工程师声称 VPC 不是必需的，标准安全组就足够了。

我分解了一些 PCI-DSS 要求，我希望我们可以作为一个社区来解决这个问题。

有疑问的事情：

1.3.5 不允许从持卡人数据环境到互联网的未经授权的出站流量。-我应该能够在软件级别执行此操作，因为标准安全组不允许这样做。

应该没问题的事情：

1.1.3 每个 Internet 连接以及任何非军事区 (DMZ) 和内部网络区域之间的防火墙要求。-两者都允许这样做。

1.2 构建防火墙和路由器配置，限制不受信任的网络与持卡人数据环境中的任何系统组件之间的连接。-我可以轻松地为应用服务器和数据库创建一个安全组，然后只允许应用程序访问数据库组。

1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。-我可以通过安全组禁止所有公共访问。

1.3.1 实施 DMZ 以将入站流量限制为仅提供经授权的可公开访问的服务、协议和端口的系统组件。-我将使用负载均衡器来完成这项任务。

1.3.2 将入站 Internet 流量限制到 DMZ 内的 IP 地址。-负载均衡器将是唯一可公开访问的服务器。

1.3.6 实现状态检测，也称为动态包过滤。（即，仅允许“已建立”的连接进入网络。） -标准安全组执行状态检查。

基于该列表，我认为没有什么能阻止我仅通过安全组实现 PCI 合规性。如果您同意/不同意，请告诉我。

**另外，我没有存储任何 PAN，这是一个干净的通道。

我很感激反馈。