我们过去从未传输,处理或存储信用卡信息,因为我们通过PayPal完成所有工作,因此我们永远不需要符合PCI标准.
但是,我们正在推出一个新的在线商店,通过无缝结账处理信用卡信息而不重定向到PayPal,我们现在需要PCI合规性.
我们将咨询合格的安全评估公司,以指导我们获得并保持PCI合规性.然而,在他们试图向你出售你可能不需要的每一项服务之前,我想先咨询一下我想看看我正在看什么.
在PCI合规性方面,我了解它需要在软件和硬件级别上完成并满足12点+要求.我们将与Magento Professional合作,因为它具有PCI兼容支付系统,我们将与PCI兼容的网络托管公司(专用服务器)合作.但就软件而言,您是否需要在所有方面遵守PCI?或者只是传输,存储和处理信用卡信息的软件?
例如,据Magento称,支付软件符合PCI标准,而Magento平台则不符合PCI标准.因此,这允许您对Magento进行更改,修改和自定义,而不会影响支付软件的PCI合规性.
换句话说,我问,您是否只需要处理传输,处理和存储信用卡信息的源代码/软件的PCI合规性?这些"合格安全评估公司"给人的印象是,所有源代码都需要检查PCI合规性,这是不可能的!
例如,对于Magento,我可以对其进行更改和修改并仍然符合PCI标准吗?只要支付模块不受影响,因为它符合PCI标准,并且网络托管,服务器和操作系统符合PCI标准?
我的意思是不处理信用卡的php,javascript,mysql东西不需要兼容吗?他们当然会在同一台服务器上.
基本答案是,这取决于情况。一般来说,只有处理(或可以处理)PCI 敏感和受保护数据的源代码才需要符合 PCI 标准。但是,这意味着如果代码的其他区域可以访问安全区域,那么您也需要那里的安全性。例如,如果应用程序的另一个区域容易受到 SQL 注入的攻击,则可能会损害您的信用卡系统。这就是为什么有些人会倾向于所有软件都符合 PCI 标准。必须确保编写得不好的软件可能会被利用来危及数据的安全。
我说这取决于情况,因为检查人员总是有一些解释的空间。不过,好消息是,在所有标准中,PCI 似乎是最直接、最具体地规定了您需要做什么和不能做什么。以下是有关 PCI 直接表述的更多信息:
https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf
这里的基本问题是确保该网站不会在任何地方被利用。如果您在应用程序区域(信用卡数据与普通网站)之间建立了足够的“防火墙”,那么这将大大有助于表明您只需要扫描一些代码。此外,正如上述文档所述,您不必为了符合 PCI 要求而进行源代码审查。但是,您的应用程序需要进行广泛的测试,以确保其免受典型漏洞的影响。
| 归档时间: |
|
| 查看次数: |
1706 次 |
| 最近记录: |