问题标签 [pci-dss]

因此，就像任何有能力的 Web 开发商店一样，当我们接触信用卡时，我们会戴上棉手套，并使用 Braintree SecureVault 来存储它们，这样我们就不会遇到 PCI 合规性问题。

然而，现在我们想为我们的服务提供免费试用，这在很大程度上依赖于能够保证给定的信用卡仅用于免费试用一次。理想情况下，我们能够对信用卡号本身进行哈希处理以保证唯一性。问题在于有效信用卡号码的集合很小，因此很容易暴力破解信用卡号码。据我所知，加盐策略是无用的，因为如果有人可以访问哈希数据库，他们很可能也有代码，因此也有加盐算法。

迄今为止最好的两个想法是：

A) 将哈希值隔离在一组中，与其计费信息无关。因此，如果哈希是暴力破解的，那么它们所拥有的只是一个在某个时间点使用过的信用卡号码列表，没有个人信息，也不知道它是否仍然有效。这里的主要弱点是我们确实有 last-4 的记录，这可能会在某种程度上用于匹配它们。

B) 没有全数的散列，处理误报和误报。名称、last-4 和过期时间的散列应该是相当独特的。误报就像中了彩票，我们可以在客户支持处处理。修改名称可能会导致漏报，我们不清楚我们对名称匹配的准确性有什么保证（我的理解可能受到网关和商家帐户的影响），因此这可能会打开一个漏洞。

想法？建议？久经考验的智慧？

我是一名软件工程师，目前正在开发另一个必须符合 PCI PA-DSS 合规性的支付应用程序（我的第三个）。我正在重新检查 PA-DSS 文档，我想知道过去我是否在应用程序的安全性上过度劳累，而我本可以使用 TLS 和用户/密码。所以，我的问题是，在实施 PA-DSS 安全应用程序时：

1. 对于身份验证和通信安全，拥有 TLS + 用户/通行证就足够了吗？

2. PA-DSS 标准的哪些部分证明需要在 Web 方法调用之间实现消息散列和滚动散列？TLS 实现可靠消息，但不实现消息之间的滚动哈希和持久调用者。实施滚动散列会有什么不同（从 PA-DSS 的角度来看）？

3. 如果一个支付处理应用程序存储了 PII 信息并服务于不同的公司（意味着 A 公司和 B 公司可以在此类应用程序中拥有帐户），则没有具体要求说明 PII 信息不能存储在同一个 DB 中，但在过去，PA-QSA 坚持认为这是一个问题。问题是：这真的有必要吗？我不能认为 Authorize.NET 是一家拥有数千个客户和处理器的公司，它拥有不同的数据库来存储通过其每个客户公司处理的信用卡。

提前致谢！

更新#1：

• 假设 DMZ 和 Secure Zone 中的所有页面和 Web 服务都将具有 HTTPS 用于所有通信通道、页面和服务。

• 关于#3，问题不在于存储敏感信息的位置或安全性。该问题更倾向于质疑在同一数据库中共享来自不同来源（例如 AT&T 和 Verizon 等客户端）的敏感信息的能力。

保护 SQL 查询的一些有效且安全的方法是什么？

简而言之，我想确保程序员看不到应用程序用来执行查询的密码。想到了 RSA 或 PGP 之类的东西，但不知道如何实现更改密码而不在应用程序中的某个地方进行编码。

我们的环境是典型的 Linux/MySQL。

请注意：我们使用的是 Magento 的专业版，它不提供供应商支持。

我查看了以前的问题，虽然我可以在一个网站上找到有关多个支付网关的问题和答案，但我找不到任何关于 Magento 支付桥的具体信息。Payment Bridge 是一个 PA-DSS 认证的应用程序，Magento 提供了它的企业和专业许可证。这对于符合 PCI 的环境是必需的。

我们的问题是我们的客户有两个 Auth.net 帐户。这是为了和解，解释可能会冗长，所以请相信我，这是一个必要的场景。

在设置支付桥时使用商户配置工具创建商户时，它只允许您提供一次登录，即只提供一个帐户，并询问接受哪些卡。该网站将接受所有卡，但一个帐户处理 Visa、Mastercard 和 Discover，而另一个帐户处理所有美国运通卡付款。

如何在支付桥设置期间设置商家以同时拥有两个帐户？

我正在为任何不需要 PCI DSS 合规性的英国支付网关寻找 Drupal6/ubercart2 支付模块。我的网站是一个交易量相对较低的购物车，并且获得合规性超出了预算。

例如，有一个“Sage pay go direct”模块需要遵守。Sagepay 还提供了另一种称为“Sage Pay Go with Form”的解决方案，其中客户被重定向到他们的网站以存储卡详细信息并进行付款，但据我所知，没有可用的模块。

Worldpay 有一个模块，但需要合规。

我们有 paypal 模块，我将其作为最后一个选项，因为它要求用户创建一个有点令人反感的帐户。

任何人都可以推荐任何其他网关模块或廉价的 PCI-DSS 兼容托管服务提供商？

我正在尝试让运行 Apache 2.2.17 的 Fedora 14 服务器通过 McAfee ScanAlert 的 PCI-DSS 合规性扫描。我第一次尝试使用在 ssl.conf 中设置的默认 SSLCipherSuite 和 SSLProtocol 指令...

失败，理由是启用了弱密码。使用 ssllabs 和 serversniff 工具进行的扫描显示 40 位和 56 位密钥确实可用。

然后我改成...

并尝试了在各个站点上报告的所有以下字符串，以通过来自各种供应商的 PCI 扫描...

我在更新后重新启动 apache 并且 apachectl configtest 说我的语法没问题。随后的 ScanAlert 扫描均失败，其他扫描工具继续显示 40 位和 56 位密码可用。我尝试将 SSLProtocol 和 SSLCipherSuite 直接添加到 httpd.conf 中的 VirtualHost，但没有帮助。

实际上感觉某处的某些东西正在覆盖这些设置，但除了 ssl.conf 之外，我在任何地方都找不到设置这些值的任何东西。

如果有人可以提供一个已知良好的 SSLCipherSuite，它已经通过了最近的 PCI 扫描，这将有助于追踪我的问题。

谢谢。

我只是想知道如果您存储加密的信用卡号码以进行定期计费，那么 PCI 认证级别是多少。

我计划每年进行少于 20,000 笔交易，但是，我不确定存储的信用卡号。

所以我知道有很多关于存储信用卡信息的帖子。我们正在构建一个移动应用程序，并希望人们能够一次输入他们的卡信息，而不是每次购买。

我们查看了Authorize.net CIM，它似乎是一个理想的解决方案（我们只存储返回信用卡号的配置文件 ID 或令牌）......但它可能无法满足我们的需求，因为信用卡信息是'不是由 authorize.net 处理（必要），而是通过我们发送付款的任何商家帐户。换句话说，我们希望像钱包一样存储信用卡信息......不一定每次都使用 Authorize.net 处理。

阅读CIM XML 文档（第 94 页），看起来 getCustomerPaymentProfileResponse 掩盖了信用卡返回数据......所以我看不出如果数据被掩盖，这对处理有何用处？

我们确实有其他一些实施选项，但我真的希望有一种基于网络的方式让客户管理他们的支付账户。有谁知道存储信用卡数据的任何方法，这些数据可以按需调用以传递给任何给定商家的处理器？

编辑 4.28.2011 - 我碰壁了。如果我们根本不存储信用卡信息，让客户输入然后传递它怎么办……我们如何安全地做到这一点？不存储它，传递 HTTPS，在传输过程中加密卡数据？

一家审计公司表示我们不符合 PCI 标准，但提供了有关如何解决问题的无益说明。他们显然希望我们与他们的咨询部门合作。

在收到 PCI 合规审计警报后，您使用了哪些资源/服务来填补空白？

是否有网站提供有关解决 PCI 合规性问题的有用资源？

例如，这是我们被标记的神秘失败消息之一：

“描述：URL X 的类别参数中的跨站点脚本漏洞”

但是对于如何关闭这个漏洞没有明确的指导。

谢谢。

我想学习如何用 PHP 开发支付网关和最佳实践（如 SSL 和 PCI DSS 等）。任何人都可以推荐任何可以帮助我的书籍/博客，我发现的所有内容都是特定于支付网关的，并没有帮助我理解。