标签: pci-compliance

我们的PCI扫描失败了,因为ColdFusion具有可预测的CFID.我们得到的确切失败是"可预测的Cookie会话ID".现在CFTOKEN不再可预测,因为我已经配置CF以使用UUID用于CFTOKEN,但是,CFID仍然是可预测的,并且不受CF Admin中任何更改的影响.

我真的不知道为什么CFID可预测是一种威胁,但他们希望我们修复它.

我一直无法通过googeling找到任何关于此事的任何事情,我真的不确定还能做什么.

有没有其他人处理过这样的事情？有什么建议？

编辑:这是我的Application.cfc文件的样子:

<cfcomponent output="false">

    <cfset this.name="DatabaseOnline">
    <cfset this.sessionManagement=true>
    <cfset this.setDomainCookies=true>
    <cfset this.setClientCookies=true>
    <cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>

</cfcomponent> 

我的CF管理员看起来像这样:http://i.imgur.com/k9OZH.png

那么如何禁用CFID？

我对有关回复Bill Pay表格的PCI合规要求感到好奇.

我目前有一个提交给authorize.net的表单,我不会将任何信用卡信息存储在数据库中或任何其他方式.

我的问题涉及ASP.NET ViewState和PostBack值.如果用户忘记在表单上输入其名称,则表单会进行回发并显示验证消息.然后,ASP.NET从ViewState恢复所有用户输入的信息.这包括他们输入的信用卡号.对我来说,这似乎违反了PCI合规性.我不是专家,所以我不确定,如果有人能够阐明这个话题会很棒.

此外,仅供参考,如果有人想知道,表格通过SSL提交,我的视图状态是加密的.

如果您在页面上包含所有这些各种javascript文件,包括网站分析,点击跟踪等各种服务,这是否会产生巨大的安全风险,因为使用javascript他们可以劫持在表单上输入的人员信用卡？

目前这甚至被认为是安全的？

这意味着,您的服务器是安全的,您的支付提供商是安全的,您拥有SSL,但如果有人要破解人们使用的任何这些服务(我看到许多网站使用超过10种服务来跟踪点击,广告相关等),那么它们可以包含您的付款表单.

我们正在开发一个项目，其性质在某种程度上是乘车共享，我读到了有关 PCI 合规性的内容，我知道如果我们处理信用卡或付款，我们必须符合 PCI 合规性，我有点模棱两可，我们是否存储司机的银行信息（例如帐号） （加密），数据库中的帐户名称等，我已阅读过

谁必须符合 PCI 要求？ “如果您接受客户的信用卡，那么您必须符合 PCI 合规性”参考

因此，如果我们只存储银行帐号而不存储信用卡，我们就必须遵守 PCI 规定。

我正在评估一些支付网关选项,我正在查看PayPal的保险库选项(类似于Braintree的保险库).

我发现,在Braintree的保管库存储的情况下,我可以安全地(加密)发送信用卡信息以存储在他们的服务器上,从而避免了PCI合规性问题的必要性.

PayPal的保管库存储API是否有类似的方式发送加密的信用卡信息？我正在查看他们的文档,似乎我需要将未加密的数据发送到他们的保险库.

我做错了这个假设吗？我会非常感兴趣,因为这会让我丢弃Paypal并与Braintree一起作为我们的支付网关服务.

提前致谢.

我注意到,当发出特定类型的请求时,即使在私有子网中,也会显示ELB背后的ec2实例的内部IP.特别是具有空HOST值的一个.

telnet site_url 80
GET / HTTP/1.0

并返回标题:

HTTP/1.1 301 Moved Permanently
Cache-Control: max-age=1209600
Content-Type: text/html; charset=iso-8859-1
Date: Thu, 26 Mar 2015 18:47:22 GMT
Expires: Thu, 09 Apr 2015 18:47:22 GMT
Location: https://10.0.7.35/
Server: Apache
Content-Length: 226
Connection: Close

当然,这也发生在443上的开放ssl请求.

是否有人知道这个问题的解决方案或锻炼？我知道IIS有相同的症状,但我的问题是AWS ELB特有的.

编辑:

Apache重定向强制HTTPS.

RewriteCond %{HTTPS} off
RewriteCond %{SERVER_ADDR} !^127\.0\.0\.1
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

我目前正在从事该项目，其功能之一是电子商务，因此我们的系统应该负责用户信用卡信息和其他凭据信息的安全性。

我知道任何处理用户支付卡信息的网络服务都应该遵循 PCI 合规性（支付卡信息数据安全标准）。作为前端开发人员，我需要弄清楚我应该关注和需要学习 PCI DSS 的哪一部分。

任何建议，参考或建议？

谢谢您的帮助

我想知道这里是否有人使用authorize.net" 高级集成方法 "API.

我已经在他们的网站上搜索了常见问题解答,但我似乎无法找到一个直截了当的答案或者在这个时刻找到他们.

我知道API需要SSL(显然),但他们的TOS协议是否要求PCI合规或任何类型的认证,前提是您没有存储信用卡号码？此外,如果有人碰巧知道,他们的服务条款中是否有任何内容禁止将此用于存储商家凭证的应用程序(当然有明确的商家许可)？

为了澄清,在最后一部分,我正在谈论一个SaS应用程序存储多个商家(同一服务器)的商家ID和交易密钥.

因此，我的Win 2012 R2服务器上的PCI扫描失败。

这是远程服务器支持的中等强度SSL密码的列表：中等强度密码（> 64位和<112位密钥）TLSv1 DES-CBC3-SHA Kx = RSA Au = RSA Enc = 3DES-CBC（168） Mac = SHA1

他们告诉我这是DES-CBC3-SHA，我相信Microsoft会将其称为TLS_RSA_WITH_3DES_EDE_CBC_SHA

我希望使用注册表将其关闭。有人知道吗？谢谢。

我有一个需要遵守 PCI/DSS 标准的 Nodejs 应用程序。

例子 ：

let number = "91029039102930193092"

如何有效地将其从内存或 V8 垃圾收集器 (GC) 中删除？

我可以这样做：number = ""将其重置为空字符串吗？