标签: pci-compliance

我想在Windows Azure上托管一个应用程序,该应用程序存储按月付费购买订阅的用户的信用卡信息.我只需要尽可能安全地存储卡数据(加密,加密,经常更新数据库密码,使用HTTPS等)

我相信我需要符合PCI标准才能存储这类信息.我的问题是Azure能让我实现这个目标吗？我有什么选择？Azure上的应用程序可以处理信用卡付款吗？

我试图了解Braintree的Hosted Fields框架.它已在几天前发布,目前仍处于测试阶段.

我查看了文档.我得到了整体的想法,但是开始时会有一些小的工作示例.我找到了一个github repo,但代码似乎没有用.

谷歌搜索没有提供任何有价值的东西(只是评论这个想法的文章).你能指点我一个工作的例子(最好是一个使用rails)吗？

我正在为有特殊需求的客户编写销售点申请表.客户端是零售商店,因此当他们处理信用卡时,他们会有一张实体卡,可以刷卡.它现在的方式,在结账时,它向收银员提供一个总额,并且收银员将总数键入信用卡终端(手动 - 它没有连接到计算机),刷卡终端然后当处理付款时,收银员按下"信用卡付款"并打印收据.

问题是手动键入总计是耗时的并且容易出错.我宁愿让我的程序将金额传输到信用卡终端,然后在处理完交易时收到消息.我不想触摸任何持卡人信息(卡号等),因为我想要留在PCI之外.我想做的就是发送金额并获得"接受"或"拒绝".你认为这很常见,但我似乎找不到信息.(例如,authorize.net的卡存在API要求我收集和传输卡号.我不想收集和传输卡号.我想传输一个金额,让其他人收集并传输卡号和过程完成后通知我.)

有人有解决方案吗？有没有人使用过Verifone或Ingenico的硬件？如果我发送通过USB连接的物理终端的号码或虚拟软件终端,我不在乎.我只是不想自己成为终端,所以我不在卡数据链中的任何地方.

我们需要为基于订阅/定期付款的 SaaS 应用程序存储信用卡的最后 4 位数字（以便让客户知道他们使用的是哪张卡？）和到期日期（以通知客户他们的卡即将到期）。

PCI DSS 允许这两种数据存储吗？请回答并提供官方网站或文档的参考/链接。

请注意：我们不会存储卡上的姓名和CVV 号码

我在我的代码中使用了这个：

<script type="text/javascript" src='https://www.googleadservices.com/pagead/conversion.js'></script> 

在 PCI 扫描中，我收到错误消息“Script Src Integrity Check”

他们推荐使用 SRI（子资源完整性检查）。这是通过在标签中添加完整性属性来完成的，该属性是哈希键。

我试图在https://www.srihash.org/上为这个 js 文件创建一个哈希键

但它给出了一个错误说：

错误：此资源不符合完整性检查条件。请参阅https://enable-cors.org/server.html

你能在这里帮助我吗？

1. 我如何为这个 js 生成哈希键？

2. 有没有其他方法可以摆脱 PCI 扫描错误？

我们正在尝试在AWS上的负载平衡EC2实例上实现PCI合规性.我们必须解决的一个问题是我们的负载均衡器接受弱密码.但是,ELB不支持密码套件,因此我必须逐个手动设置每个密码.问题是,我找不到一个有资格作为强密码的列表.例如,此设置转换为哪些密码:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4 + RSA:+ HIGH:+ MEDIUM

很难找到这些信息,亚马逊没有默认的PCI兼容设置(看起来很傻 - 他们有两个默认策略,为什么没有第三个称为"强PCI"或其他东西).

我正在寻找一个开源静态源代码分析工具,可用于Android应用程序的安全测试.我需要确保我的应用程序符合PCI标准.
Fortify是一个非开源工具的例子.
任何人都可以帮助提供推荐软件列表？

我正在研究一个传统的电子商务平台,并在处理信用卡号时注意到了一个惯例.C#

cardnumber = "11111111111111111111";
cardnumber = null;

或者在sql中

update cards set cardnumber = '11111111111111111111' where customerid = @CustomerID
update cards set cardnumber = null where customerid = @CustomerID

我认为推理是在将其设置为null之前将其从内存中删除,这可能不会删除该值.但是这种推理似乎表明SQL Server和/或.NET VM存在漏洞,只是将其设置为null不会完全删除数据只是说它可用.

1. 我对它的理解是否正确？
2. 今天还需要进行吗？

我有一个第三方客户在他们的网站上进行了PCI扫描.报告返回了这个:

Web服务器自动索引已启用

这是什么,禁用它是否安全？有没有人知道禁用它的最安全的方法,以及我如何检查它已被禁用？

我从https://www.ssls.com/购买了 PositiveSSL Wildcard

我收到了 3 个文件 a .ca-bundlea.crt和 a .p7b。

我使用 NGINX 配置了证书，但收到错误：

“服务器证书链不完整”

https://www.ssllabs.com/ssltest/analyze.html?d=api.billgun.com

我怎样才能解决这个问题？