有没有人获得实践经验或参考实施符合PCI DSS安全标准的密钥管理方案的方案?
鉴于符合PCI DSS的公司数量,但显然有很多实现,但试图找到它们的细节是很困难的.当它归结为存储私有数据时,讨论通常会停止使用哪种加密算法.在此之后,通常会有关于正确存储私钥的声明,但没有讨论实际的方法,或者定期更改密钥或为应用程序提供密钥等.
具体而言,我对PCI DSS标准第3.5和3.6节的要求感兴趣.
3.5.2以尽可能少的位置和形式安全地存储加密密钥.
3.6.a验证用于加密持卡人数据的密钥是否存在密钥管理程序.注意:密钥管理的众多行业标准可从包括NIST在内的各种资源获得,可在http://csrc.nist.gov上找到.
3.6.4确认密钥管理程序的实施至少每年要求定期更改密钥.
我已经看过NIST Cryptographic出版物,正如PCI DSS要求文件所暗示的那样,但除了最近的加密密钥管理研讨会的注释之外,似乎没有太多真正可实现的方案或标准.
至于我想要做的事情不是:
所有这些都是有效的问题,但在这种情况下不是答案.我的要求的细节是一个不同的SO问题.Net设计模式,用于存储和检索敏感的每个用户数据,但这一切都归结为密钥管理,因此这个更精确的问题.
我正在寻找一个(最好是纯粹的)python库来进行AES 256加密和解密.
该库应该支持CBC密码模式,并根据我之前的问题的答案使用PKCS7填充.
该库至少应该适用于Mac OS X(10.4)和Windows XP.理想情况下,只需将其放入我的项目的源目录中.我已经看过Josh Davis的这个,但我不确定它有多好,如果它做了所需的CBC密码模式......扫描源表明它没有
我正在寻找一家支付网关公司,因此我们可以避免繁琐的PCI-DSS认证及其相关费用.我现在就把它拿出来,我不想要贝宝.它做我想要的,但它真的不是一个我想用任何金钱信任的公司.
它需要支持以下流程:
如果可能的话,英国或欧盟和开发商友好.
我们不需要购物篮的任何概念,因为我们已经在我们的代码中处理了所有这些概念.
我们(或至少会通过推出)有一个合适的商业银行账户 - 因此不需要像Paypay这样的保险服务.
如果他们的API明确地涵盖了Python(我们正在使用Django),那就更好了,但我认为我有足够的能力破译任何其他示例并自己将它们转码为Python.