问题标签 [pci-dss]

作为PCI-DSS审计的一部分，我们正在考虑改进我们在安全领域的编码标准，以确保所有开发人员都了解该领域的重要性。

您如何在您的组织内处理这个话题？

顺便说一句，我们正在 .NET 3.5 中编写面向公众的 Web 应用程序，接受信用卡/借记卡付款。

我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文件，上面说我需要保护信用卡号、有效期和持卡人姓名。从未存储安全代码。

在他们的文档中，它只是说保护。这是说我需要加密数据库中的这 3 列吗？我认为只有数字是需要加密的数据。无论哪种方式，我都很好。

如果我需要加密所有三列，我是否共享一个证书并拥有 3 个对称密钥，或者我只需要一个，并且在所有 3 列上都使用该对称密钥？我问的原因是在加密列的 BoL 文档中，密钥是专门以他们正在加密的列命名的。

感谢所有的帮助！

我即将继承并在一个设计非常糟糕的小型企业零售网站上工作。除其他外，最大的担忧是当前的信用卡处理。

目前，所有者从在线订单中检索信用卡信息（姓名、号码、CVV2 和到期日期），并将所有这些信息以纯文本形式保存在 MySQL 数据库中。然后有人订购的通知会发送到他的电子邮件。此后，他有一个管理后端页面，他可以查看订单和信用卡信息，他使用这些信息与自己的商家进行离线处理。

从后端页面检索信息后，信用卡号和CVV2立即被删除（PHP脚本自动调用）。如果在 7 天内未访问该页面，该信息也会被删除。因此，在交易处理之前，所有信息都有可能以纯文本形式保存在数据库中 7 天。

这似乎不是一个好的设计，可能是非法的。如果这是非法的，我将不得不向他打破这个，因为他还没有意识到这一点。

我的问题：除了不安全之外，这是否违法或违反使用条款 (PCI DSS)？而且，如果是这样，我该如何向他证明，以便他允许我改变他的方式（显然，我不想把手伸进违法的事情中。另外，有时使用条款的措辞可以看起来很主观）？最后，解决此问题的最佳选择是什么（第 3 方在线商家、符合 PCI DSS 或其他）？

如果我有一个 Web 应用程序，并且我通过 HTTPS 接收 Web 浏览器通过 POST 请求传输的信用卡数据，并立即打开一个到远程 PCI 兼容卡处理器的套接字 (SSL) 以转发数据并等待响应，我是吗？允许这样做吗？或者这是否与我的应用程序一起接收数据并转发它已经成为“处理信用卡数据”的主题？

如果我创建一个显示在客户端浏览器中以输入 cc 数据的 iframe，并且此 iframe 通过 HTTPS 将数据发布到远程卡处理器（直接！）这是否已经是处理信用卡数据的情况？即使我的应用程序代码“不接触”任何事件处理程序输入的数据？

我对“信用卡数据处理”的定义感兴趣。什么时候开始成为 cc 数据处理应用程序？有人可以指出 PCI-DSS 标准中明确定义何时开始“成为处理应用程序”的那部分吗？

谢谢，

我正在开发一种解决方案，旨在存储会员详细信息以及信用卡详细信息。我正在尽我所能遵守 PCI DSS。到目前为止，这是我的设计：

PAN = 主帐号 == 信用卡上的长号

• 服务器 A 是远程服务器。它存储所有成员详细信息（姓名、地址等）并为每个存储的 PAN 提供单独的密钥 A
  
• 服务器 B 是本地服务器，实际上保存着加密的 PAN 以及密钥 B，并进行解密。

要获得 PAN，客户端必须向两个服务器进行身份验证，向服务器 A 询问各自的密钥 A，然后将密钥 A 提供给服务器 B，服务器 B 会将 PAN 返回给客户端（前提是身份验证成功）。服务器 A 只会使用服务器 B 的公钥加密密钥 A，因为它会事先拥有它。不过，服务器 B 可能必须先发送盐，但我认为不必加密

关于上述内容，我还没有真正考虑过任何实现（即编码）细节，但是解决方案是使用 Java 的 Cajo 框架（RMI 的包装器），这就是服务器相互通信的方式（目前，成员资格详细信息已传输）这样）。

我希望服务器 B 而不是客户端进行解密的原因是我害怕解密密钥进入客户端的 RAM，即使它在服务器上可能同样糟糕......

有人能看出上述设计有什么问题吗？是否必须更改上述内容并不重要。

谢谢

杰尼尔

我一直在审查一些用于保护删除文件的应用程序。我理解用零和随机字符多次覆盖文件的概念；但是，我不明白在实际删除文件之前重命名文件最多三十次的概念。

我正在尝试为我的站点获取 PCI 合规性，但 Mcafee 安全扫描已抛出：

Potential Sensitive Persistent Cookie Sent Over a Non-Encrypted (SSL) Channel

当您到达站点时，Drupal（默认行为）会设置一个会话 cookie。这导致了问题。显然，整个站点不应该在 SSL 下；许多其他网站都设置了这样的会话 cookie。

是什么赋予了？

对于我们所做的某些信用卡处理，我们需要符合 PCI 标准。人们如何在其他商店这样做？

您如何保护您的 SVN？

你如何保护你的构建服务器？

代码如何从开发人员迁移到生产环境？

假设我决定使用支付网关而不是使用他们的托管页面，而是提供我自己的信用卡详细信息表单，然后通过 xml 将数据发送到他们的后端，如本页所述。然后：

1. 我需要担心 PCI 合规性吗？如果是这样，我、我的托管公司或支付网关人员应该整理出哪些步骤（PCI 网站）
2. 有人告诉我，只要我的表单在 SSL 上，我的网站就会自动合规。是对的吗？

谢谢你的帮助

我正在考虑使用 eWay 作为支付网关。他们提供两种选择。一种是允许用户在 eWay 托管网站上输入信用卡数据，另一种是使用我自己的表格并通过我的服务器将信用卡数据发送到 eWays 后端。第二个选项（他们的详细信息页面) 对我来说似乎更合适，因为用户永远不会离开我的网站并且品牌会得到维护。现在，我与支持人员交谈，他们说只要我使用 SSL，我的网站就会符合 PCI 标准。所以基本上我可以允许用户在我的网站上提供 CC 号码并通过 XML 将其发送到 eWays 后端。只要我不存储敏感数据，只传输就可以了。到目前为止，我认为只要 CC 数据访问我的服务器，我的网站就需要符合 PCI 标准，但现在我不确定。如果有人可以向我解释它的真实情况，那将不胜感激。