问题标签 [pci-dss]

我正在处理必须存储一些支付卡数据的问题。为了符合 PCI DSS 规定，我们必须清除磁盘中的数据，不仅要从存储系统中删除文件，还要使用随机数据序列写入字节，以使数据更难恢复。

我希望能够利用数据库来满足我的存储需求（用于增加并发性和更简单的查询），但是我找不到任何方法来以这种方式清除单个记录。

是否有任何已知的技术可以实现这一点？

我们有一个 openssl/kerberos/openssh 用户身份验证，它需要一个私钥和公钥对。

我需要登录并从数据库中获取一些数据。但是我不允许以纯格式将数据存储在数据库中。用于解密的私钥需要存储在异地。

我们不想像在 oracle、db2、mysql 等中那样使用透明数据加密，而是创建我们自己的。

我可以重新使用我已经拥有的密钥对，而不是添加另一个加密层。

这是为了符合存储敏感数据的 PCIDSS 要求。 https://www.pcisecuritystandards.org/security_standards/index.php

一些最佳实践建议非常感谢。

谢谢

如果我运行购物车应用程序，Web 服务器是否需要符合 PCI 标准？我问的原因是因为我无论如何都不处理网站上的付款。主要付款方式将通过 Paypal。

我还没有决定我将使用哪个购物车应用程序：它可能是以下之一：opencart、magento、zen-cart

谢谢您的意见。

我正在开发一个允许客户使用信用卡付款的网站。我住在乌拉圭，所以我不能申请像 Authorize.net、Braintree 等普通商家帐户。所以我不能使用他们必须存储信用卡的功能来进行经常性收费。

任何人都知道提供此功能的信用卡处理器/网关，该功能允许存储信用卡信息并通过 API 访问它们（看不到信用卡信息，只是令牌或 ID）以向他们收费并接受非美国公司? 我知道 2checkout 但他们没有定期付款功能:(

我已经用谷歌搜索了好几天没有运气，也许有人有一个很好的提示。

非常感谢您的宝贵时间！

一切顺利，安德烈斯·蒙塔尔班

我们必须确保这些临时数据将是持久的，并且删除符合 DoD 的安全标准（擦除磁盘上的数据/避免存储在磁盘上）。

我想将使用 RIJNDAEL 256 算法 + 精心制作的秘密加密的数据存储到内存缓存中，但我担心数据丢失/损坏。

我对 MySQL 和内存堆存储引擎也有同样的想法，但到目前为止我还不知道这件事的可靠性。

对这个问题有什么想法吗？

当我的服务器被扫描 PCI 合规性时，我收到了这个错误。我想知道是否可能是因为我关闭了 iptables。在我确定它会通过之前，我不想让他们再次扫描它。我的第一个问题是，有什么方法可以自己扫描吗？我的另一个问题是，关闭 iptables 是否是实际问题？

以下是我遇到的一些错误：

• TCP 443 https - 远程服务支持使用弱 SSL 密码
• TCP 465 urd - 远程服务接受使用 SSL 2.0 加密的连接
• TCP 993 imaps - 远程服务使用具有已知弱点的协议加密流量
• TCP 995 pop3s - 远程服务接受使用 SSL 2.0 加密的连接

谢谢你的时间。

我有一个符合 PCI 的电子商务网站，但该网站没有 XML 站点地图。之前的网站管理员表示，他删除了站点地图，因为它导致网站未能通过 PCI 验证测试。（我们使用 McAfee SECURE 服务进行自动化测试。）我想为 SEO 恢复站点地图，但我不想危及我们的合规性。

假设我的新站点地图只包含相关的产品/信息链接信息，我有什么需要担心的吗？

我们测试了该应用程序的 PCI 合规性，结果出现错误，指出

解决方案如下

谁能帮助我如何使用 IIS 6.0 在 Windows Server 2003 中实现

我正在构建一个处理敏感 PCI 数据（银行号码、CC、SSN 等）的 Web 应用程序。有谁知道处理这些数据的最佳服务。我研究了 Rackspace，他们的 PCI 解决方案似乎对我需要的东西有点矫枉过正，因为我主要只需要保护数据库，实际上只有少数页面需要合规并且不会收到相对大量的流量.

注意：很多网页不需要这些数据并接收更高的负载量，我计划将这些页面托管在云上。

我们正在开发一种新软件（实际上只是一个 php 脚本），它收集持卡人信息并将其存储在 MySQL 数据库中。显然，我们正在采取一切安全预防措施（防火墙、防病毒、SELinux、限制对机器的访问），但我们正试图了解在实施之前我们需要采取哪些步骤。

由于客户是 4 级商户（没有实际交易，只是存储持卡人信息），我们需要进行哪些扫描才能找到？

显然我们需要扫描服务器/IP，但是收集数据的 php 脚本呢？