标签: pci-dss

这个问题讨论了不同的支付处理器及其成本,但我正在寻找如果我想接受信用卡支付需要做什么的答案？

假设我需要为客户存储信用卡号码,因此无法获得依赖信用卡处理器进行繁重工作的明显解决方案.

PCI Data Security显然是存储信用卡信息的标准,它有许多一般要求,但是如何实现它们呢？

那些拥有自己最佳实践的像Visa这样的供应商呢？

我是否需要使用密钥卡访问机器？如何在物理上保护它免受建筑物中的黑客攻击？或者甚至如果有人拿着sql server数据文件的备份文件呢？

备份怎么样？是否有其他物理副本的数据？

提示:如果您获得商家帐户,则应协商他们向您收取"交换加"而不是分层定价. 通过分层定价,他们将根据使用的Visa/MC类型向您收取不同的费率 - 即.他们会向你收取额外费用大额奖励的卡.Interchange plus billing意味着您只需向处理器支付Visa/MC收取的费用,外加固定费用.(Amex和Discover直接向商家收取费用,因此不适用于这些卡.您会发现Amex费率在3%范围内且Discover可能低至1%.Visa/MC在2%的范围). 这项服务应该为你做谈判(我没有使用它,这不是广告,我不隶属于网站,

这篇博文给出了处理信用卡的完整概要(特别是针对英国).

也许我说错了这个问题,但我正在寻找这样的提示:

1. 使用SecurID或eToken将其他密码图层添加到物理框中.
2. 确保盒子位于具有物理锁或键码组合的房间中.

有没有人获得实践经验或参考实施符合PCI DSS安全标准的密钥管理方案的方案？

鉴于符合PCI DSS的公司数量,但显然有很多实现,但试图找到它们的细节是很困难的.当它归结为存储私有数据时,讨论通常会停止使用哪种加密算法.在此之后,通常会有关于正确存储私钥的声明,但没有讨论实际的方法,或者定期更改密钥或为应用程序提供密钥等.

具体而言,我对PCI DSS标准第3.5和3.6节的要求感兴趣.

3.5.2以尽可能少的位置和形式安全地存储加密密钥.

3.6.a验证用于加密持卡人数据的密钥是否存在密钥管理程序.注意:密钥管理的众多行业标准可从包括NIST在内的各种资源获得,可在http://csrc.nist.gov上找到.

3.6.4确认密钥管理程序的实施至少每年要求定期更改密钥.

我已经看过NIST Cryptographic出版物,正如PCI DSS要求文件所暗示的那样,但除了最近的加密密钥管理研讨会的注释之外,似乎没有太多真正可实现的方案或标准.

至于我想要做的事情不是:

1. 将密码+盐存储为单向哈希进行身份验证,
2. 选择强大的symmteric算法进行数据加密,
3. 首先避免需要存储私人数据.
4. 避免使用其他机制进行密钥管理:物理安全性,数据库安全性,龙和向导等.

所有这些都是有效的问题,但在这种情况下不是答案.我的要求的细节是一个不同的SO问题.Net设计模式,用于存储和检索敏感的每个用户数据,但这一切都归结为密钥管理,因此这个更精确的问题.

我的业务要求迫使我在短时间内存储客户的完整信用卡详细信息(编号,姓名,到期日期,CVV2).

理由:如果客户打电话订购产品并且他们的信用卡被当场拒绝,您很可能会失去销售.如果您了解他们的详细信息,感谢他们的交易,然后发现该卡被拒绝,您可以给他们打电话,他们更有可能找到另一种支付产品的方式.如果信用卡被接受,您可以清除订单中的详细信息.

我无法改变这一点.现有的系统以明文形式存储信用卡详细信息,而我正在构建的新系统中替换它,我显然不会复制这个!

那么,我的问题是如何在短时间内安全存储信用卡.我显然想要某种加密,但最好的方法是什么？

环境:C#,WinForms,SQL-Server.

在数据库中存储信用卡号码时要遵循哪些PCI规则？

1)这是允许的吗？2)如果是这样,我们必须遵循哪些规则？

我正在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件？

我即将继承并在一个设计非常糟糕的小型企业零售网站上工作.除此之外,最受关注的是当前的信用卡处理.

目前,所有者从在线订单表格中检索信用卡信息(姓名,号码,CVV2和到期日期),并以明文形式将所有信息保存在MySQL数据库中.然后会将通知发送到他所订购的电子邮件中.此后,他有一个管理后端页面,他查看他用来与自己的商家离线处理的订单和信用卡信息.

从后端页面检索信息后,立即删除信用卡号和CVV2(自动调用PHP脚本).如果在7天内未访问该页面,也会删除该信息.因此,在事务处理之前,所有信息都有可能在数据库中以纯文本形式存在七天.

这似乎不是一个好的设计,可能是非法的.如果这是非法的,我将不得不打破这个,因为他还没有意识到这一点.

我的问题:除了不安全之外,这是非法还是违反使用条款(PCI DSS)？而且,如果是这样,我怎么能向他证明这一点,以便他允许我改变他的方式(显然,我不想把我的手放到非法的东西.而且,有时使用条款的措辞可以看似主观)？最后,解决此问题的最佳选择是什么(第三方在线商家,符合PCI DSS标准,还是别的什么)？

可能重复:

1. 使用PHP获取和存储信用卡信息的最佳实践
2. 存储信用卡详细信息
3. 存储信用卡信息

我需要在电子商务网站中存储信用卡号码.我不打算存储整个信用卡号码,因为这样做风险很大.我想存储至少前五位数字,以便我以后可以识别发卡的金融机构.理想情况下,我希望尽可能多地存储信用卡号码,以帮助任何未来的交叉引用等.

我可以安全存储多少位数和哪些特定数字？

例如,我想这不够安全:

5555 5555 555* 4444

因为你可以计算缺失的数字.

同样,这是安全的,但不是很有用:

5555 5*** **** ****

是否有一个公认的模式来存储部分信用卡号码？

如果我要使用符合PCI-DSS的单独Windows服务器,如果我有一个托管后端的SQL Azure,我是否仍然符合要求？这假设我在应用层是合规的,并且我只存储允许的值(如没有CVV)等.

我正在尝试让运行Apache 2.2.17的Fedora 14服务器通过McAfee ScanAlert的PCI-DSS合规性扫描.我第一次尝试使用ssl.conf中设置的默认SSLCipherSuite和SSLProtocol指令...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

未能引用弱密码已启用.使用ssllabs和serversniff工具进行扫描后发现,40位和56位密钥确实可用.

然后我改为......

SSLProtocol -ALL +SSLv3 +TLSv1

并尝试了各种网站上报告的所有以下字符串,以便从各种供应商处传递PCI扫描...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

我在更新后重启apache,apachectl configtest说我的语法没问题.随后的ScanAlert扫描全部失败,其他扫描工具继续显示40和56位密码可用.我已经尝试将SSLProtocol和SSLCipherSuite直接添加到httpd.conf中的VirtualHost并且没有帮助.

它实际上感觉像某个地方覆盖了这些设置,但除了ssl.conf之外我找不到任何设置这些值的地方.

如果有人能够提供已经通过最近PCI扫描的已知良好的SSLCipherSuite,那么它将有助于追踪我的问题.

谢谢.

我们正在为拥有自己的支付处理解决方案的客户开发移动应用程序(iOS和Android).该应用程序面向公众,将由个人消费者在自己的手机上使用.

该应用程序必须通过SOAP API与支付处理解决方案连接.我们需要接受用户支付卡详细信息的输入,并将其传递给该API.我们无法将其网站嵌入iframe或类似内容; 我们必须使用这个特定的API,这意味着我们的应用程序将不可避免地(简要地)拥有和处理用户的支付卡详细信息.

所有应用程序需要做的是收集详细信息(通过让用户在手机的键盘上点击它们),通过API发送它们,然后尽可能快地丢弃它们.它不会将数据存储在完成事务所需的时间之外,并且它不会将数据发送到客户端服务器以外的任何地方.我们永远不会将数据存储在我们自己的服务器上,我们会小心不要将其写入日志中,通常我们会将其视为放射性废物,因为它在应用程序拥有的短暂时间内.

我们可以安全地假设(至少现在)客户端的系统已经做了他们需要做的关于PCI DSS的任何事情.当然,应用程序和支付服务器之间的流量是加密的.

我们很难掌握PCI DSS需要做的事情,我们非常感谢能帮助我们开始的任何指示.我们非常乐意(确实希望)使用顾问帮助我们实现合规 - 但我们甚至不知道我们会与谁交谈.我们在网上很容易找到的所有东西(包括来自PCI本身的材料)似乎与微妙的不同场景有关,或者建议我们通过使用类似iframe的东西来回避问题,这对我们来说不是一个选择.

说实话,我们很惊讶它找到一些明确的指针是多么困难.很多应用都会处理卡片细节!这肯定是一个常见的问题.

所以,我们的问题:

1. 我们应该在哪里获得与我们的特定情况相关的专家建议？
2. 完全非正式地,并且基于我们将在稍后获得适当的合格建议的理解......我们应该期待多少噩梦？我们想知道是否需要担心手机上安装的键盘记录器.是真的如此,还是我们走得太远了？
3. 我们缺少一个神奇的子弹 - 例如,一个已经知道合规的库？

非常感谢您给我们的任何帮助.

如果我有一个Web应用程序,我收到通过HTTPS浏览器通过POST请求传输的信用卡数据,并立即打开套接字(SSL)到远程PCI编辑卡处理器转发数据并等待响应,我是允许这样做？或者这是否与我的应用程序接收数据并转发它已经处理"处理信用卡数据"？

如果我创建一个在客户端浏览器中显示的iframe来输入cc数据,并且这个iframe通过HTTPS将数据发布到远程卡处理器(直接!)这已经是处理信用卡数据的情况了吗？即使我的应用程序代码"没有触及"任何事件处理程序输入的数据？

我对"信用卡数据处理"的定义感兴趣.什么时候开始成为cc数据处理应用程序？有人可能会指出我在PCI-DSS标准中明确定义何时开始"成为处理应用程序"的那一部分？

谢谢,