标签: pci-dss

如何确保我从db表中删除的所有数据不再存储在硬盘上的mdb文件(和其他文件)中？

这是我的情况:
我的客户端用于在其数据库(SQL Server)中存储未加密的信用卡数据.由于PCI要求,他们现在加密所有数据...但是,mdb文件仍然有一些旧的,未加密的CC写入它.
我们已经确认数据库中没有更多的CC; 我们压缩了数据库; 我们将它备份到一个文件并重新恢复到一个新的数据库; 我们甚至运行了sp_cleandb.
然而,当我们分析磁盘上的持久文件时,我们仍然会发现一些未加密的CC - 它们不存储在数据库中,它们不是SP,视图或UDF的一部分,并且它们不会出现在任何表元数据中.

所以,我的问题 - 如何确保所有"坏"CC数据消失？或者,更一般地说,如何强制MSSQL仅存储当前数据,并从任何"垃圾"中清除文件？

作为PCI-DSS审计的一部分,我们正在研究如何改进安全领域的编码标准,以确保所有开发人员都了解这一领域的重要性.

您如何在组织内处理此主题？

另外,我们在.NET 3.5中编写面向公众的Web应用程序,接受信用卡/借记卡付款.

我正在用PHP构建一个管理器类来管理信用卡支付授权.有了信用卡,我们可以保留First6,last4,expiration_Month和expiration_Year.

我真的很想知道这4个变量的组合是多么独特,以及碰到另一个变量的可能性.

取决于测试我们是否已获得新卡的有效授权的可能性.如果我们已获得特定卡的授权,则无需再次运行这些号码.相反,我们可以找到已经授权的卡并进行重新授权.但是,我不想跑错卡,因为它有一个类似的First6,last4,expiration_Month和expiration_Year..

我的目标是限制信用卡数据的数据冗余,命中CC处理器API以及客户卡上不必要的授权.

如果我需要存储借记卡信息,那么必须存储哪些字段？

例如,使用信用卡,字段是

• 卡号
• 到期月/年
• 持卡人姓名
• 拉链(有时)
• CCV(有时)

借记卡怎么样？我需要存储密码吗？

我的公司运行PCI合规性扫描,每次叮叮当当的是ASP.NET详细错误消息信息泄漏.

描述是:发现了一个详细的ASP.NET错误消息......并且它担心我们正在向我们的ASP.NET版本,IIS版本等展示潜在的黑客.

触发此信息的事情是浏览到"oursite"/Trace.axd,如果您这样做,则会收到如下错误消息:

跟踪错误说明:当前跟踪设置阻止远程查看trace.axd(出于安全原因).但是,它可以由运行在本地服务器计算机上的浏览器查看.

在页面底部有这个:

-------------------------------------------------- ------------------------------版本信息:Microsoft .NET Framework版本:2.0.50727.4234; ASP.NET版本:2.0.50727.4223

有趣的是,错误消息是说如何禁用跟踪,你必须更改web.config才能看到它!我的web.config有(exerpt):

<configuration>
  <system.web>
    <trace enabled="false" requestLimit="10" pageOutput="false" localOnly="true" />

我相信这是trace disable语句的正确层次结构.我不明白为什么服务器正在响应一条消息,如果禁用了跟踪,则禁用跟踪.如果这是正常行为,那么为什么我们的PCI扫描仪抱怨泄露太多信息？

非常感谢任何让它停止如此健谈的帮助.

顺便说一句,如果重要的话,我的自定义错误是这样的:

<system.web>
    <customErrors mode="Off" defaultRedirect="~/Errors/GeneralError.aspx">
        <error statusCode="404" redirect="~/Errors/PageNotFound.aspx" />
    </customErrors>

我是PCI的新手,想使用Stripe作为我的支付网关.他们不收取月费,并有一个很好的PHP系统从站点发送资金到Stripe.现在我知道我可以让客户输入他们的卡信息,使用Stripe的框架,并允许卡信息消失.那没关系,但我的问题是:

如果我想将卡信息存储在数据库中以便在Stripe的PHP框架中使用,我该如何学会合法地使用它？

这是Google Cloud Platform：客户责任矩阵。该文档基本上介绍了所有PCI DSS要求，并说明了GCP完成的工作以及客户应完成的工作。

本文档声明Google Cloud Storage适用于PCI DSS。

此 GCP链接指出：“ 要求3.4规定PAN在存储的任何位置都必须不可读。Google会自动提供静态加密，但不会自动执行规则也要求的单向哈希，截断或标记化。 ”

但是，我无法找到明确表明Google Cloud存储符合PCI的证据，因为它是云提供商提供的服务。

是否有官方文件声称Google Cloud Storage作为服务兼容PCI？

讨论GCP如何实现Google Cloud Storage的PCI DSS合规性而不是如何满足客户设置要求的文档？

场景如下：我有 2 个子网。1 符合 PCI DSS 标准，而另一个则不符合。我可以将数据从 PCI 兼容子网提取到不兼容子网中，以便在 Kafka 上处理吗？

tl;dr 必须分析的数据位于兼容子网上。Kafka 位于不合规子网中。

我正在制作一项网络服务,信用卡信息将作为用户个人资料的一部分存储,并将用于处理付款.

但是,我不喜欢将卡信息保存为数据库中的原始文本的想法.相反,我想以某种方式对卡号进行散列,以便在恶意人员访问数据库时,该站点的用户将尽可能保持安全.

我想它可以类似于密码的散列方式,但一个重要的区别是我需要能够通过第三方api解散并发送信用卡信息.

如何在rails中为Devise用户添加哈希信用卡？

谢谢你的帮助