【发布时间】:2011-06-23 17:21:47
【问题描述】:
我们正在开发一款新软件(实际上只是一个 php 脚本),用于收集持卡人信息并将其存储在 MySQL 数据库中。显然,我们正在采取一切安全预防措施(防火墙、防病毒、SELinux、限制对机器的访问),但我们正在尝试了解在将其投入使用之前需要采取哪些步骤。
由于客户是 4 级商户(没有实际交易,只是存储持卡人信息),我们需要进行哪些扫描才能找到?
显然我们需要扫描服务器/IP,但是收集数据的 php 脚本呢?
【问题讨论】:
-
我没有使用 PCI 的经验,但有一些通用的 PHP/SQL 建议:清理所有输入,转义所有输出,并确保任何错误消息都不会提供有关服务器端发生情况的任何信息.
-
我完全同意 tjmoore1993。但是,如果您坚持.. 给 VISA 打个电话。在互联网上向人们询问绝对是解决高度敏感问题的错误方法。 VISA 将非常彻底地概述该过程。有大量的软件和物理安全预防措施需要考虑。能够存储持卡人信息基本上不值得投资。
-
显然tjmoore1993的评论被删除了>:(
-
@jwir3,仅用于信用卡信息。当然,其他地方可能希望您无论如何都符合 PCI 标准。 PCI =“支付卡行业”
-
PCI 合规性只是一种安全认证,表明您已经制定了一些常识性的最佳实践来维护安全的信用卡交易信息。如果您处理信用卡,则需要符合 PCI 标准。它与支付网关 API 没有任何关系,实际上与代码没有直接关系。 PCI 合规性包括无 WiFi 网络、不存储卡号、审计(在某些级别)等。
标签: php credit-card pci-dss pci-compliance