问题标签 [pci-dss]

我正在与一个新客户合作一个项目，由于业务类型，他们在获取商家帐户来处理他们的在线支付时遇到了一些问题。该系统的工作方式与 Just Eat/Expedia 等类似，客户在网站上下订单，然后将订单传递到场地，网站收取佣金。

客户询问我们是否可以将客户付款详细信息存储在我们的数据库中（加密），然后将它们传递到场所，以便使用他们内部的卡系统自行处理。我知道这存在 PCI 合规性问题，但我无法直接回答我们需要做什么。我已经和几家托管公司谈过了，其中一家说我们需要一个具有独立 Web 和数据库服务器的集群，而另一家则说我们不会。我以前从未做过这样的事情，我通常只是将付款处理外包给 SagePay 等人。

这是建议的付款流程：

• 客户在网站下订单
• 付款详情存储在数据库中
• 客户通过电子邮件收到订单确认。地点通过电子邮件发送订单通知。如果场地接受订单，订单和付款细节将被传输到内部离线处理
• 场地在内部完成付款后，确认订单并从网站数据库中删除付款详细信息
• 客户通过电子邮件收到最终订单确认

我想确保任何流程都是正确的，我最不想做的就是让网站受到攻击，支付详细信息，并对任何损失负责！

任何建议将不胜感激。

我正在查看商家帐户，据我了解，存储送货地址对于 PCI 合规性来说是可以的，这是真的吗？此外，似乎 Recurly 的 API 需要 SAQ C 或 SAQ D，我查看了一些示例问题：

• 配置标准是否包括对每个 Internet 连接以及任何非军事区 (DMZ) 和内部网络区域之间的防火墙的要求？
• 是否有批准和测试所有外部网络连接以及防火墙和路由器配置更改的正式流程？

我的意思是，对于大多数人来说，我认为不。PCI 合规性是否仅适用于成熟的公司？我相信很多人都想要无缝结帐，而且肯定有一些服务可以避免 PCI 合规性，那么为什么要获得商家帐户呢？值得付出额外的努力吗？我的意思是，看到这些示例问题已经很麻烦了。

我正在使用 PayPal 直接付款的电子商务网站上工作。我们的客户应该在 PayPal 托管的页面中输入他们的信用卡信息，这样我们的服务器就不会接触到持卡人的数据。

我们的问题是我们想提供方便，让回头客不必每次都输入信用卡信息，我们不想存储甚至触摸持卡人数据。

相反，我们希望将这些敏感数据存储在 PayPal 中，以便下次我们可以提供诸如 CustomerID 之类的东西来要求 PayPal 访问信用卡信息以完成购买。

这可能与 PayPal 或其他服务提供商有关吗？

PS。我们还尝试了 Intuit Payment Wallet。它可以存储持卡人数据，但需要我们将这些数据传输到他们的服务器以创建“钱包”。

我需要为用户提供连接到我们系统的信用卡的最后 4 位数字（例如 Skype）。它应该看起来像：

我们将从您的卡中扣款 xxx-xxx-xxxx-1234

对于 CD 授权和收费，我们使用一些“支付网关”。不幸的是，他们没有任何基于交易号的 API 可以向我返回该数据。在我的本地数据库中保留最后 4 位数字是否合法，根据 PCI 可以吗？

或者也许有不同的方法可以做到这一点。

如何为我的项目编写内部漏洞扫描报告？
我必须使用工具来生成此报告吗？我在网上搜索了与此相关的内容，但我一直无法理解。

There are plenty of log reporting tool but I am having trouble on choosing. Can anyone advice me a tool for audit-log monitoring?

我正在完成 PCIDSS 评估。

要求状态密码必须至少每 90 天更改一次，并且与之前的 4 个密码中的任何一个都不同。

我不确定这是为了访问服务器，还是为了访问我提供给服务器上用户的应用程序。

如果是后者 - 无论如何在 ASP.Net 3.5/4 Web 应用程序和 MVC4 Web 应用程序中强制执行此操作？

谢谢，马克

I have bought PCI Compliant Security Policies and Procedures document from pcipolicy. Their written policies are ok.However, document does not help me on procedures. They just give the same suggestions with the https://www.pcisecuritystandards.org/

My question is anyone ever purchase them and how good are they? I am interested in purchasing documents from pcipolicyportal, do you suggest?

我们正在获得 PCI 1 级，如果有人能帮助阐明 PCI-DSS 1.3.3 和 1.3.5 要求，我将非常感激，其中规定：

1.3.3 - “不允许任何直接路由入站或出站用于 Internet 和持卡人数据环境之间的流量” 1.3.5 - “限制从持卡人数据环境到 Internet 的出站流量，使得出站流量只能访问 IP 地址在非军事区内。”

现在，我们正在使用瞻博网络 SRX 防火墙，并且在 DMZ 中有网络服务器，在 Trusted 中有 mysql 数据库服务器。对于 Trusted，我们刚刚完成了对公开的所有出口的锁定，并且必须在 DMZ 中设置一个代理服务器来获取更新（yum、clamav、waf-rules 等）以从中获取更新。

但我们并没有真正期望 DMZ 也需要像我们在 Trusted 上所做的那样完全锁定出口。而且我确实发现在 DMZ 上进行出口锁定有点挑战（除非我弄错了），因为我们的代理也住在那里，需要对公众进行出站访问以获取更新等等。通过 IP 将它们列入白名单具有挑战性，因为第 3 方供应商拥有不断变化的 IP。

所以我的问题是，究竟需要多少“限制”？对于我们的 Trusted，我们有一个“拒绝所有”出口和一个它可以访问的选定 IP 地址的白名单。DMZ 也需要这个吗？或者 DMZ 是否可以仅基于端口进行“全部拒绝”，这会使事情变得容易得多，因为我们不必担心镜像和 3rd 方服务的不断变化的 IP 地址。

我发现了一些基于“主机名”进行智能过滤的代理设备（换句话说，动态 IP 白名单），但它们似乎确实要花很多钱。

如您所见，我正在寻找一些答案，我们的审计员帮不上什么忙，他只是说需要锁定它。如果这里有人有 PCI 审计经验，我很想听听您的意见。

我负责管理一个需要遵守 PCI 准则的站点。经过前一段时间的大量工作，它终于通过了PCI安全检查。最近它又开始失败了。我怀疑这是因为在安全检查中添加了新测试。

检查现在抱怨的是代码注入网站的可能性。这是其中一件事的一个例子：

如果您使用 Firebug 查看源代码，您会看到它是对我的代码执行此操作的：

行。本身无害，但我可以看到他们在做什么。

他们还提供了其他非常相似的示例，但它们都是同一行。

你怎么能真正防止这种事情呢？而且，有害吗？

提前致谢。