标签: pci-dss

对于我们所做的一些信用卡处理,我们需要符合PCI标准.人们如何在其他商店做到这一点？

你如何保护你的SVN？

你如何保护构建服务器？

代码如何从开发人员迁移到生产？

我以前从未处理过PCI合规问题.我一直在阅读他们的文件,它说我需要保护信用卡号码,有效期和持卡人的姓名.无需存储安全代码.

在他们的文档中,它只是说保护.这是说我需要在我的数据库中加密这3列吗？我以为只有数字是需要加密的数据.无论哪种方式,我很好.

如果我需要加密所有三列,我是否共享一个证书并拥有3个对称密钥,或者我只需要1个,并且所有3列都使用该对称密钥？我问的原因是在加密列的BoL文档中,密钥是在加密列之后专门命名的.

感谢您的帮助!

假设我决定使用支付网关而不是使用他们的托管页面,而是提供我自己的信用卡详细信息表单,然后通过xml将数据发送到他们的后端,如本页所述.然后:

1. 我是否需要担心PCI合规性？如果是这样,我的托管公司或支付网关人员应该整理哪些步骤(PCI网站)
2. 我被告知只要我的表格在SSL上,我的网站就会自动遵守.是对的吗？

谢谢你的帮助

我们正在为ModSecurity(mod_security)寻找一些额外的规则 - 有两个商业选项,GotRoot或TrustWave的新选项

http://www.gotroot.com/mod_security+rules

https://www.trustwave.com/modsecurity-rules-support.php

我听说过TrustWave而不是GotRoot.然而,GotRoot规则似乎在Google等上有更多的提及 - 似乎TrustWave的规则只出现在大约一个月左右之前

我们将使用它们来保护电子商务网站

PCI-DSS下的源代码存储库管理存在哪些限制(如果有)？

我工作的公司希望为我们网络下托管的客户开发信用卡处理服务.目前我们正在使用SVN进行版本控制.它是安全的,只有需要签出/提交访问权限的开发人员才能拥有它.与此同时,我计划从SVN转移到HG.但是,由于缺少对远程克隆的访问控制,安全团队对使用分布式SCM工具表示保留.具体而言,他们声称这会违反PCI-DSS合规性.可以？

我正在评估一些支付网关选项,我正在查看PayPal的保险库选项(类似于Braintree的保险库).

我发现,在Braintree的保管库存储的情况下,我可以安全地(加密)发送信用卡信息以存储在他们的服务器上,从而避免了PCI合规性问题的必要性.

PayPal的保管库存储API是否有类似的方式发送加密的信用卡信息？我正在查看他们的文档,似乎我需要将未加密的数据发送到他们的保险库.

我做错了这个假设吗？我会非常感兴趣,因为这会让我丢弃Paypal并与Braintree一起作为我们的支付网关服务.

提前致谢.

我正在做的是开发一个财务软件并将其连接到符合pci标准的第三方信用卡公司.我们公司是一家加拿大公司.我们不符合pci,也不打算兼容pci.但我们希望保存PAN的最后4位数字,以帮助前线员工识别.

如果我只保存PAN的最后4位数,客户名称,有效期和PRN,我是否必须符合PCI标准？如果必须的话,如果我只用PRN保存PAN的最后4位数,那么我必须是PCI兼容的吗？

我阅读了PCI DSS文档.它只说我必须是pci兼容如果我保存PAN,但没有说我是否只保存最后4位数.

谢谢.

我工作的公司将接收我们将收集数据的表格的扫描图像(放入XML文件)信用卡号码将被写入表格,但我们不会收集该数据或处理付款.

在这种情况下,PCI标准是否适用？没有带有该号码的实际数据文件,但是任何查看该图像的人都可以轻松获得信用卡号码.持卡人姓名将出现,没有安全码.不确定是否包含失效日期.

我认为我们属于服务提供商的定义,对我而言,SAQ-D似乎最有可能适用.有关环境不符合SAQ-D的所有要求.

根据我的阅读,我的观点是适用的要求,但即使他们没有,我们为什么不试着遵循这些要求呢？只要我们定期删除图像,我认为我们就可以了.

我要感谢任何输入,链接,PCI-DSS文档的相关部分等,无论是支持还是反对这种情况下的标准.

我正在查看商家帐户,根据我的理解,存储送货地址对于PCI合规性是可以的,这是真的吗？此外,似乎Recurly的API需要SAQ C或SAQ D,我查看了一些示例问题:

• 配置标准是否包括每个Internet连接以及任何非军事区(DMZ)和内部网络区域之间的防火墙要求？
• 是否有正式的流程来批准和测试所有外部网络连接以及防火墙和路由器配置的变化？

我的意思是,我认为大多数人都不会.PCI合规性是否仅适用于成熟公司？我相信很多人都希望无缝结账,并且肯定有一些服务可以避免PCI合规性,那么为什么要获得商家帐户呢？值得付出额外的努力吗？我的意思是,看到这些示例问题就像是一个巨大的麻烦.

在执行PCI合规性安全指标扫描时,我收到以下错误消息.有谁知道如何解决这个问题？

*Title: vulnerable web program (phpRPC) Impact: A remote attacker could execute arbitrary commands, create or overwrite files, or view files or directories on the web server.

Data Sent: POST /ie/modules/phpRPC/server.php HTTP/1.0

Host: example.com

Content-type: text/xml Content-Length:162 <?xml version="1.0"?> <methodCall> <methodName>test.method</methodName> <params> <param> <value><base64>'));system(id);exit; </param> </params> </methodCall>

Data Received: ????<img height="1" width="1" style="border- style:none;" alt="" src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"/>

Resolution: 03/09/06 CVE 2006-1032 phpRPC is an xmlrpc library that uses database and rpc-protocol abstraction. It is prone to a remote code …