问题标签 [pci-dss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 重定向后获取模型 - 数据存储方法和 PCI 合规性
我的问题是在我的表单上使用 PRG 模式时如何在重定向期间保留数据。具体来说,我想在电子商务应用程序中使用它。我有三个通过重定向存储数据的选项,我对每个选项都有顾虑。我希望你们能帮助我解决这个问题:
1.) 将数据存储在 URL 字符串中
我可以将数据存储为 URL 中传递的加密字符串。这很好,因为我不必存储信用卡信息,但我担心(也许我错了)Google Analytics 可能会导致信用卡信息(虽然已加密)被编入索引并显示在搜索结果中. 希望我在这个问题上是错误的并且可以使用这种方法,因为它是最简单的。
2.) 在会话中存储数据
我可以将数据存储在会话中,但我担心某些用户将无法使用会话,因为 cookie 被禁用,这会限制应用程序的有用性。此外,我将在会话中存储加密的信用卡信息,PCI 合规部表示在任何情况下都不允许我存储 CVV。
3.) 将数据存储在数据库中
我可以将数据存储在数据库中,这将解决我对会话的兼容性问题——但我仍然面临在任何情况下都不允许存储 CVV 编号的问题。
使用 PRG 模式时,通过 URL 传递信息似乎是最好的方法。我只是担心页面中的 Google Analytics 可能会将 URL 中的查询字符串编入索引。即使查询是信用卡信息的加密和不可读形式,我仍然不希望它出现在任何东西上。希望我认为 Analytics 会存储和索引该信息是不正确的。
请指教,谢谢您的帮助。
security - Jasypt StandardPBEStringEncryptor setting password in spring bean configuration file
When using Jasypt's StandardPBEStringEncryptor we have to set password explicitly in spring bean configuration file. Is it ok and secure to have the password in the bean configuration file? Will it be a problem in PCI Compliance to store the encryptor password?
mysql - 在 MySQL 数据库中保存信用卡信息?
我想让我的客户用户输入他们的信用卡信息,这样我就可以每月向他们收费。
我想知道应该如何保存这些信息?
是应该保存在 MySQL 数据库(“user”表)还是这种信息过于敏感,需要存放在其他地方?
我没有这方面的经验,如果有人能建议我如何做到这一点,我会很高兴。
谢谢。
e-commerce - Payflow Link 是否需要 PCI 合规性?
我试过自己打电话给 PayPal,电话里的代表甚至不知道 Payflow Link 可以这样工作,所以我不相信他的建议。我所有的搜索都遇到了不同的答案。
我正在使用 Payflow Link 构建电子商务网站,其中 CC 处理在 Paypal 托管页面上处理。但是,我正在考虑实施高级集成方法,客户在我的服务器托管的表单上输入所有 CC 信息,但表单通过 SSL 直接发送到 Paypal 的服务器。使用这种方法,我可以维护我的网站的品牌,但所需的 Paypal 收据页面除外。
使用这种方法的抄送信息不应该接触到我的服务器。他们是否需要符合 PCI 标准?从技术角度来看,我不明白为什么应该这样做,但从法律角度来看,我迷失在 PCI-DSS 文档的行话中。该网站每年进行大约 1000 笔交易。
mysql - 加密密钥管理软件和透明数据加密 MySQL
对于 PCI 合规性,是否有任何推荐的加密密钥管理软件?开源更可取,但商业也可以。是否有提供两者的工具或软件?
security - SQL Azure PCI-DSS 是否兼容?
如果我要使用符合 PCI-DSS 的单独 Windows Server,如果我有一个托管后端的 SQL Azure,我是否仍然符合标准?这是假设我在应用程序层是合规的,并且我只存储允许的值(如无 CVV)等。
credit-card - 用于存储信用卡详细信息的安全 DataVault - PCI DSS
我一直在阅读一些文章,这些文章描述了使用 Datavault 和标记化来减少 PCI DSS 负担。
我的问题是,是否有任何公司提供安全地存储信用卡信息等数据以换取令牌,他们是否提供通过验证自己并提供令牌返回给他们来查看数据的能力?
此设置是否符合 PCI DSS?
credit-card - 是否有任何远程信用卡数据存储不管理/处理付款,只存储数据?
这种服务的行为类似于支付网关,但实际上并不授权或向卡收费,并且在 PCI 合规性方面会让我们的生活更轻松。
我们的客户希望我们保留卡信息,但不采取行动。大约一个月后,如果客户不坚持到底,他们会使用卡详细信息通过将信息输入您的标准零售卡机来对卡进行收费。现在,为了让我们的客户符合 PCI,存储信用卡信息的我们需要以符合 PCI 的方式进行。据我所知,我们的选择是:
- 让自己符合 PCI 标准
- 让我们的客户从我们作为数据存储服务切换到新服务
无论是:
2.1:新服务是贝宝或类似的,他们将不得不授权并延迟获取资金(每月对他们来说是一笔巨大的额外费用)
2.2:新服务只是如上所述的远程数据存储(每月向他们收取少量额外费用)
欢迎任何见解,谢谢。
security - PCI 合规性 - 未经身份验证的数据库
我不知道去哪里解决 PCI 合规性问题,所以我想我会试一试。如果有人能指出我可以去哪里提问的正确方向,请分享。我也很乐意将其标记为答案。
如果一个符合 PCI 的站点连接到一个不存储用户信息但包含可能在支付过程中呈现的 HTML 和 JavaScript 片段的数据库,该数据库是否需要进行身份验证才能保持 PCI 兼容?我正在评估 MongoDB,发现它在配置副本集时不提供身份验证。
database - 存储信用卡号 - PCI?
在数据库中存储信用卡号应遵循哪些 PCI 规则?
1)这是允许的吗?2)如果是这样,我们必须遵循什么规则?
我在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件?