Ste*_*ins 23 credit-card pci-dss
我即将继承并在一个设计非常糟糕的小型企业零售网站上工作.除此之外,最受关注的是当前的信用卡处理.
目前,所有者从在线订单表格中检索信用卡信息(姓名,号码,CVV2和到期日期),并以明文形式将所有信息保存在MySQL数据库中.然后会将通知发送到他所订购的电子邮件中.此后,他有一个管理后端页面,他查看他用来与自己的商家离线处理的订单和信用卡信息.
从后端页面检索信息后,立即删除信用卡号和CVV2(自动调用PHP脚本).如果在7天内未访问该页面,也会删除该信息.因此,在事务处理之前,所有信息都有可能在数据库中以纯文本形式存在七天.
这似乎不是一个好的设计,可能是非法的.如果这是非法的,我将不得不打破这个,因为他还没有意识到这一点.
我的问题:除了不安全之外,这是非法还是违反使用条款(PCI DSS)?而且,如果是这样,我怎么能向他证明这一点,以便他允许我改变他的方式(显然,我不想把我的手放到非法的东西.而且,有时使用条款的措辞可以看似主观)?最后,解决此问题的最佳选择是什么(第三方在线商家,符合PCI DSS标准,还是别的什么)?
Joh*_*nde 21
这违反了PCI DSS.您不仅存储了您不应该存储的信息(CVV),而且还没有加密信用卡号(也是违规行为).
更糟糕的是,他违反了Visa和MasterCard指南,该指南规定所有在线交易必须使用符合ECI的设备或软件进行处理,并且互联网订单必须具有单独的商家帐户.他们的信用卡终端绝对不符合ECI标准.他们需要获得一个新的商家帐户,并使用像Authorize.Net这样的支付网关来处理这些订单.
编辑
由于我怀疑网站所有者实际上会费心去购买新的商家帐户或实施支付网关,因此最好的办法是使用双向加密来存储这些信息.然后确保用于检索信用卡信息的页面已加密(SSL证书),因此信息从端到端是安全的.
我强烈建议您使用互联网商家帐户并使用像Authorize.Net这样的支付网关.除了符合PCI和ECI并且只是聪明的方式之外,企业不仅失去了他们的商家帐户而且被列入黑名单并且禁止再次拥有真正的商家帐户的可能性非常高.只需要为他们的商家帐户提供商进行一次退款即可了解他们正在做的事情以及开始的麻烦.