我一直在開發一個項目,其他開發者開發了一個處理信用卡的應用程序。這就像客戶打電話給代理人一樣,他會收集信息併爲該卡收費。我們需要存儲對卡片的參考,以便我們可以在他們給我們打電話時迅速給他們充電。這種情況並不常見,實際上是客戶使用在線表格打電話或發出訂單。保存包括CCV在內的所有信用卡信息!?
當我檢查數據庫。我很驚訝地發現他存儲了所有的信用卡信息。好吧,不僅是信用卡號碼,他還保存了到期日,ccv以及客戶投入的所有內容。
這一切都是未加密的,就在那裏!我們根本沒有保持那麼多的監控/安全。
我現在只是很困惑。存儲它們可以嗎?我知道它不是。他存儲他們的理由是什麼?
這有點奇怪。要被允許處理信用卡數據,您通常必須通過外部PCI-DSS審計,以檢查系統的安全性,包括數據處理,加密和流程。
該準則聲明除其他外,該數據已將加密。此外,您從不允許存儲CCV值。你應該和你的同事覈對一下,這是所有的猶太教徒。如果系統上有任何問題,您可能會面臨一些嚴重的(執法)問題。
我想今天存儲數據的原因就是愚蠢。你應該真的改變這一點!
我們確定使用付款處理器來處理付款。我會談論這個。但是,他是一名資深人士。我需要足夠的理由。 – JMIZAN
如果您使用付款處理器,您應該將數據轉發給他。但是,除非您完成了PCI審計,否則不允許您保存數據。爲確保保存的信用卡數據的安全性,這是審計的唯一最重要的原因 –
重複*從不*存儲CCV。整個問題是,這是從卡本身*只能發現*的信息。您無法存儲它,因爲Holger說您違反了PCI-DSS指南。這對您的組織來說是一個重大風險。如果違反您的擔保,銀行有理由不賠償您的損失。 –
公司一直存儲信用卡信息...至於CCV,只是「有」沒有這麼多。 – sealz