Amm*_*bry 10 security storage credit-card
我在使用MySQL的Linux服务器上使用PHP.
我有一个要求(我试图说出来)从用户那里收集信用卡信息,以便我们公司可以使用卡号来保存会议的酒店房间.我们根本不会自己收取卡,而只是将它们送到酒店.然后,我需要能够下载CSV文件,每次有人注册电子邮件时,都会向管理员提供所有信息.
我试图解释这不安全,但是在我工作之前,其他几位开发人员已经为他们做了这件事.
我的问题是; 反正是为了让这个安全吗?如果没有,是否有任何第三方选择来实现这一目标?
编辑:
我感谢到目前为止发布的所有人,它只是让我想要越来越少地尝试这样做.如果你可以为你的答案添加简单的解释,面向非技术人员,我们将非常感激,事实上,网站来源和链接将帮助我很多.我没有找到任何可以用非技术方式解释这一点的网站.
首先,我不是律师.我以前曾多次实施CC处理代码,但我只熟悉丹麦的法律法规,因此您的里程可能会有所不同.
据我所知,您需要注意的是有限制(来自CC提供商的法律和法规).我不知道你在世界的哪个地方,但在许多国家,你需要通过PCI认证来处理信用卡数据,这是一个非常繁重,昂贵和持续的过程.
其他国家/地区或州可能会制定通知规则,要求您支付通知持卡人安全是否被破坏的费用 - 除非您非常小心,否则不太可能.
一般来说,我会建议不要使用该程序.如果出现问题,您可能有可能承担任何费用.
这是非常不安全的,我认为你反对它是正确的.那说......
一些想法:
酒店可以为您提供价格/组代码,您可以直接向您的用户传播吗?也许你甚至可以给他们一个直接到酒店预订页面的链接,代码已经填写完毕.
除非您可以在启用SSL的站点上执行此操作,否则不要考虑实现此功能.
不要在任何地方保存CC号码,只需生成电子邮件并将号码丢弃即可.这可以减轻您不必担心大量非常困难的应用程序/服务器安全问题.
使用GPG或同等身份对电子邮件进行加密,以使其在传输过程中受到保护,并且只能由目标收件人读取.
存储卡详细信息真的是个坏主意.您正在以PCI-DSS审核的形式为自己打开一片痛苦的世界.它不像"使用加密"那么简单,您需要有适当的流程来安全地管理加密密钥,安排密钥轮换,安全登录访问等等......存储卡详细信息绝对是您想要避免的.
如果您必须有适当的地方,那么最好的选择可能是您(作为公司)从信用卡到您自己的商家帐户,然后单独支付酒店(从您的银行帐户/任何).您作为客户代理向酒店付款.
大多数支付网关允许您安全地存储卡详细信息,并在以后收费(使用网关返回的令牌ID),这可能在这里很有用.但您无法以任何方式检索卡片详细信息以将其传递到酒店,这就是您需要付款,然后单独付款到酒店的原因.
尽管如此,因为即使使用这种简化的解决方案,许多PCI-DSS领域也会发挥作用,这仍然是一项艰巨的任务.
你问,所以这里有更多信息:
PCI-DSS是支付卡行业数据安全标准. 这是一套指导原则,基本上适用于任何"触及"持卡人数据的公司,特别是卡号.从字面上理解它意味着对数据的任何处理,即使只是让它通过你的网络,而不是永久保存到磁盘,这足以要求你必须遵守,(尽管如果你不将细节保存到磁盘上会更容易)
您还没有说明您所在的世界的哪个部分,或者如何捕获这些卡片详细信息(互联网/电话/亲自).这些细节对于如何实现合规性具有重要意义.
首先来看一下PCI-DSS SAQ(自我评估问卷).这些SAQ是未将持卡人详细信息存储到磁盘的公司的最低要求,应该能够给出整个网络中需要采用的安全性以及应该在整个公司应用的策略的良好印象.
正如我所说,如果您考虑存储卡详细信息,那么事情会变得更复杂,因为一般来说SAQ不再足够好.您需要参加QSA(合格安全评估员)的协助,他们将访问并提供有关数据存储的最佳实践以及其他各种要点的建议.对于此级别的合规性,您正在查看年度审核(由QSA执行)和季度网络扫描.查看审核程序,详细了解所涉及的内容.特别要看第3节,不要低估实施正确密钥管理的难度.
总之,完全PCI合规性将非常昂贵.即使对于已经拥有相当强大的安全策略的公司来说,引入QSA以及单独运行季度扫描和年度审计的成本可能会花费数千美元.