lee*_*ers 56 security encryption credit-card
安全合法地存储信用卡信息非常困难,不应该尝试.我无意存储信用卡数据,但我很想弄清楚以下内容:
我的信用卡信息存储在世界上某个地方的服务器上.该数据(希望)不会存储在商家的服务器上,但在某些时候需要存储该数据以验证和收取由商家提交的数据识别的帐户.
我的问题是:如果您的任务是存储信用卡数据,您将使用哪种加密策略来保护磁盘上的数据?据我所知,提交的信用卡信息正在或多或少地实时检查.我怀疑用于保护数据的任何加密密钥都是手动输入的,因此解密正在进行中,这意味着密钥本身存储在磁盘上.您如何在这样的自动化系统中保护您的数据和密钥?
Dan*_*wby 29
如果我存储该号码,我将成为一个拥有庞大数据库的巨型服务提供商.该数据库分布在一个高度冗余的存储阵列中,该阵列由多个机柜组成,位于不同的房间或理想情况下位于不同的地理位置,由SAN连接.我最大的内部威胁是分布式物理工厂,不断磨损的驱动器,以及技术人员,管理员和工程师的每日轮班.这是一个巨大的威胁.
因此,我会在通过网络连接到大容量存储的物理隔离计算机上加密数据.该软件将尽可能简单:加密和数字验证.公共接口和业务逻辑在其他地方.访问将记录到单独的SAN.
用AES之类的东西加密.原始AES密钥仅存储在RAM中.密钥包含在每个管理员的PGP文件中,每个管理员都有自己的密码来启用服务器.可以为不太信任的人员提供部分密码以用于灾难恢复,或者密码短语可以存储在某个地方的保险库中.对于加密,为每个卡号选择一个唯一的初始化向量(IV),使用该IV对该号码进行AES加密,并将IV和加密号码存储到SAN.仅使用特权客户端接口进行解密; 用于购买的普通客户端连接永远不会得到解密.
i_a*_*orf 19
对于供应商处理和存储您的信用卡信息,他们通常必须获得PCI认证.这里应该概述要求.有些要求非常简单,有些要求含糊不清,可以解释.完成这个过程并不好玩,拥有认证的公司并不意味着您的数据是安全的.
但这比我想的更好.
| 归档时间: |
|
| 查看次数: |
7314 次 |
| 最近记录: |