我们过去从未传输,处理或存储信用卡信息,因为我们通过PayPal完成所有工作,因此我们永远不需要符合PCI标准.
但是,我们正在推出一个新的在线商店,通过无缝结账处理信用卡信息而不重定向到PayPal,我们现在需要PCI合规性.
我们将咨询合格的安全评估公司,以指导我们获得并保持PCI合规性.然而,在他们试图向你出售你可能不需要的每一项服务之前,我想先咨询一下我想看看我正在看什么.
在PCI合规性方面,我了解它需要在软件和硬件级别上完成并满足12点+要求.我们将与Magento Professional合作,因为它具有PCI兼容支付系统,我们将与PCI兼容的网络托管公司(专用服务器)合作.但就软件而言,您是否需要在所有方面遵守PCI?或者只是传输,存储和处理信用卡信息的软件?
例如,据Magento称,支付软件符合PCI标准,而Magento平台则不符合PCI标准.因此,这允许您对Magento进行更改,修改和自定义,而不会影响支付软件的PCI合规性.
换句话说,我问,您是否只需要处理传输,处理和存储信用卡信息的源代码/软件的PCI合规性?这些"合格安全评估公司"给人的印象是,所有源代码都需要检查PCI合规性,这是不可能的!
例如,对于Magento,我可以对其进行更改和修改并仍然符合PCI标准吗?只要支付模块不受影响,因为它符合PCI标准,并且网络托管,服务器和操作系统符合PCI标准?
我的意思是不处理信用卡的php,javascript,mysql东西不需要兼容吗?他们当然会在同一台服务器上.
我已经阅读了一些文章,说明为了拥有符合PCI标准的云解决方案,您需要拥有私有云环境,并且无法使用谷歌应用引擎.是否有可能创建一个PCI兼容的网站,专门将信用卡信息和个人用户数据存储在谷歌应用程序引擎应用程序中.请列出为什么这可能无法实现的事实,非深奥的原因,或者应用引擎开发人员需要和可以完成的高级任务指令列表.
我有一个WPF应用程序,我们已将信用卡处理集成到.我们目前正在将信用信息刷入/输入到WPF Web浏览器的网页中,以满足PCI合规性要求.显然这是可以的,因为Web浏览器组件符合PCI标准,我们的代码从不处理信用卡信息.
我非常讨厌这种设计,并且很乐意编写一个独立的,PCI兼容的WPF控件/程序集,我们可以插入而不是Web浏览器组件.如果我们的应用程序的代码可以使用浏览器而不经过PCI认证,那么它可以使用我们自己的PCI认证组件,而且它本身是PCI认证的吗?它所做的所有新控制/组装都是收集卡信息,并通过WCF服务安全地将其发送到远程安全服务器.它不会存储信用卡或在本地进行任何处理.我被告知这样做需要9个月的审核流程,这就是我们采用浏览器方法的原因.
有人可以让我大致了解这需要做些什么吗?
PCI DSS 规则之一是:
“PCI DSS 适用于包含在或连接到持卡人数据环境的所有系统组件”
您将如何处理 SCM/发布自动化服务器?必须从开发网段中的某个服务器打开一个端口,使其成为生产网络设置中某个服务器的方式。
开发人员生成代码,然后由构建经理生成发布工件。发布工件必须进入生产环境。发布工件如何从开发到生产——它们如何从“不在范围内”的开发箱到“在范围内”的生产箱?
为了保持PCI合规性,我需要禁用TLS v1.0.反正有没有这样做(没有支付技术支持)?
我们希望使用银行业务API进行SEPA从我们的银行帐户到用户银行帐户的转帐。为此,用户需要在表格中输入其IBAN和BIC。我们获取这些数据(受SSL保护),然后使用银行REST API进行汇款。如果我们收到“成功”响应,则会向用户显示一条消息,表明资金已转入他的帐户。
在整个过程中,我们不会将IBAN或BIC存储在本地变量中的任何位置,也不会存储在数据库中。与fidor API的连接是安全的。
因此,存在以下问题:1. SEPA数据通常是否需要PCI合规性?2.如果是,我们是否需要符合上述用例的PCI?因为我们从不存储任何数据。
我试图在Google上找到关于此的信息,但没有成功。如果您有相同的用例,请与您分享经验,我将非常感谢。另外,如果您有关于此主题的链接,我也将不胜感激。
提前致谢!
我们可以利用通用 HSM 进行 EMV 相关工作吗?像ARQC/ARPC?PCI 指南并未明确禁止使用通用 HSM。存在某些限制(例如不允许将 ISO 类型 0 转换为类型 1)等。
但我普遍好奇 - 有没有人通过使用通用 HSM 的 EMV 开关认证?
我认为这是可能的原因如下:ISO 9564 和 TR-31 标准要求一些常见的事情,例如
b) 必须防止确定可变长度密钥的密钥长度。c) 必须确保密钥只能用于特定算法(例如 TDES 或 AES,但不能同时用于两者)。d) 必须确保修改后的密钥或密钥块在使用前可以被拒绝,无论修改后密钥的效用如何。修改包括更改密钥的任何位,以及重新排序或操作 TDES 密钥块内的单个 DES 密钥
在即将发布的 TR-31 法规中,我发现 AWS KMS 使用EncryptionContext和策略约束等内容进行“静态完整性检查”
所以我通常想知道是什么阻止我们使用 KMS 来实现此目的?
我一直对此感到好奇,但却找不到任何好的信息.我曾经在网上订购的披萨店工作.用户将提交他们的卡信息,我们将在商店运行它.我想知道是否有人可以告诉我这笔交易是如何进行的.如果它符合PCI标准,以及如何将其发送到打印机.我可以想到几种方法,但它们似乎都不是正确的方法.我希望用PHP做到这一点.谢谢.
在尝试禁用 TLS 1.0 时,有些 KitKat 设备需要访问我的 API。我尝试覆盖默认套接字工厂但没有成功。我曾尝试转换为 okhttp。还是行不通。如何让 Android KitKat 连接到我的 API?
我们必须记录 Web 服务的传入请求和传出响应。这包括每个对象的 JSON 序列化,以便它们可以存储在数据库中。
某些信息被视为敏感信息(例如社会安全号码、信用卡号码等),我们不能根据 PCI 合规性将这些信息包含在我们的日志中。现在我们正在用占位符值(例如“[PRIVATE]”)手动替换这些值,但这仅适用于字符串属性。某些数据(例如出生日期)未存储为字符串,因此这不起作用,因为在序列化之前替换属性值。最大的问题是有人很容易忘记在记录之前删除敏感数据,这是非常不可取的。
为了解决这个问题,我想创建一个自定义属性并将其放置在属性上,然后让 JSON 序列化例程在每个属性上查找此属性,如果存在,请将序列化值替换为占位符,例如“[PRIVATE] ”。
现在我们使用 System.Web.Script.Serialization.JavaScriptSerializer 进行序列化。显然它对我的自定义属性一无所知。我将如何更改序列化过程,以便用我的自定义“SensitiveData”属性修饰的任何数据都替换为占位符值?我不反对使用不同的序列化程序,但希望我可以利用现有序列化程序的功能,而不是编写自己的序列化程序。