我们正在开发一款新软件(实际上只是一个单独的 php 脚本),用于收集持卡人信息并将其存储在 MySQL 数据库中。显然,我们在安全方面采取了一切预防措施(防火墙、防病毒、SELinux、对机器的限制访问),但我们试图了解在将其投入使用之前我们接下来需要采取哪些步骤。
由于客户是4级商户(没有实际交易,只是存储持卡人信息),我们需要出去寻找什么扫描?
显然我们需要扫描服务器/IP,但是收集数据的 php 脚本呢?
首先,请确保您必须存储卡的详细信息。如果有可能避免它,那么我建议您尽一切努力这样做。通常有卡处理网关可以让您处理“重复交易”,您可以在其中提供初始交易的卡详细信息,然后获得一个交易 ID 以促进重复交易。
但是,如果您无法避免存储,则需要考虑以下几点
至于扫描,有许多在线 PCI-DSS 批准的扫描供应商。这些可以在 PCI-DSS 网站上批准的扫描供应商页面上找到。我可以非常衷心地推荐Qualys。我们使用它们,它们非常易于使用并帮助您完成 SAQ。
对于 PHP 脚本,对于如何开发代码几乎没有要求,因为您的开发人员必须采用安全代码开发的最佳实践和各种标准。还有大量关于测试和生产环境的要求。
“要求 6:开发和维护安全系统和应用程序”中的要求涵盖了处理卡数据的脚本的开发
“要求 3:保护存储的卡数据”中的要求涵盖了卡数据的存储。但是,本节涵盖所有形式的存储,例如纸质收据或电子收据...
然而,实现卡数据的存储是相当棘手的,因为不仅卡数据必须被加密,而且用于加密数据的密钥也必须被加密,并且第二个密钥应该只有两个单独的负责人知道。然而,有一些方法可以解决这个问题,因为 PCI DSS 的“精神”不仅是确保绝对合规,而且在无法保证合规的领域,还有足够的可用审计来跟踪和属性数据访问。
这方面的一些相关部分是卡数据存储的要求3.4,手动密钥管理和分裂知识的3.6.6但是由于您的环境可能还有其他几个部分,所以我会注意您阅读并理解要求和测试程序。
不幸的是,我无法直接链接到 PCI DSS 标准的相关部分,因为它是 PDF。
最后,不要忘记 PCI-DSS 不是“尽力而为”的标准。您必须遵守每一项要求,才能符合信用卡提供商的要求。如果您不能满足要求或它们不适用,您必须有适当的补偿控制或必须将要求记为“不适用”并解释原因。PCI-DSS 是“全有或全无”
| 归档时间: |
|
| 查看次数: |
1158 次 |
| 最近记录: |