我一直在與拒絕採用PCI標準的客戶進行辯論。我想與社區覈對以確保我的反對意見是正確的。此設置是否符合PCI標準?
問:有沒有辦法在共享主機服務器上存儲信用卡信息,並且符合PCI標準?
下面是設置:
1)SSL正在爲整個結賬過程,併爲客戶的網站的管理部分實現。
2)信用卡信息存儲在MYSQL數據庫的服務器(共享主機方案)中。它被加密。
3)客戶端訪問受密碼保護的管理面板,並從她的網站打印信用卡。
4)然後客戶端通過終端手動運行信用卡信息,並從服務器上刪除該信用卡信息。
看看MaximumASP公司的maxesp雲產品:http://www.maximumasp.com/products/cloudhosting/default.aspx
他們自稱是「完全符合PCI標準」爲自己的共享主機的雲計劃,Web和數據層。沒有相反的證據,您的問題的答案似乎是「是」假設 MaximumASP的索賠是有效的。我對PCI的細節不夠熟悉,不能與他們辯論,但如果其他人能夠駁斥索賠,我會非常感興趣。
有時作爲開發者,我們必須引導客戶走向最佳實踐,即使他們抵制。目前存儲加密數據的做法聽起來非常危險。如果您的客戶被發現違規,單單罰款可能會摧毀他們的業務,並且可能會再次困擾您。這個網站有一些很好的信息: https://www.owasp.org/index.php/Handling_E-Commerce_Payments
許多商家帳戶是非常適合小企業。您應該考慮讓您的客戶端使用Authorize.net或類似的網關進行設置。設置購物車/結賬流程的過程是相當具有挑戰性的,但如果您能夠建立像您所描述的系統,我相信您可以在一週左右的時間內找出它。
祝你好運!
不,它不是。
已閱讀通過https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf - 這是一個很好的指導PCI DSS的東西。
就我個人而言,我會說5-10節不太可能在這裏發生。
我想我對此表示贊同 – orourkedd
可以使用共享主機提供商並符合PCI標準。如果您(或正在使用)共享託管服務提供商,則PCI標準包含必須實施的其他控制措施。
額外的控制包括分離不同客戶之間進程的能力,控制另一客戶訪問一個客戶數據,控制對審計日誌等的訪問。
但是,如果您決定走下這條路線......祝您好運!
本網站的焦點內容 - 請閱讀[常見問題](http://stackoverflow.com/faq)。有一個更合適的安全堆棧交換站點。 –
我不明白爲什麼這是題外話。我不相信其他SE網站的存在也會成爲主題,這使得它在這裏脫離主題。這是一個關於編程的問題;該問題描述了一個軟件系統,並詢問它是否具有某種特性。該屬性是PCI合規性而不是O(n)運行時間或免於內存泄漏的事實似乎並不重要。 –
解密密鑰存儲在哪裏?如果它在機器上,那麼攻擊者可以獲得所有卡號,即使它在專用主機上,也不符合PCI標準。 –