security - PCI 合规性 - 未经身份验证的数据库-6ren

security - PCI 合规性 - 未经身份验证的数据库

转载作者：可可西里更新时间：2023-11-01 10:01:34

29

4

我不知道去哪里解决 PCI 合规性问题，所以我想我会试一试。如果有人可以指出我可以去哪里提问的正确方向，请分享。我也很乐意将其标记为答案。

如果符合 PCI 标准的网站连接到一个数据库，该数据库不存储任何用户信息，但包含可能在支付过程中呈现的 HTML 和 JavaScript 片段，那么该数据库是否需要进行身份验证才能保持 PCI 标准？我正在评估 MongoDB，发现它在配置副本集时不提供身份验证。

最佳答案

分几部分回答:

正如我在顶部的评论中所说，我不是 QSA(特别不是您的 QSA)，并且无权以任何方式允许您。要获得明确的答案，您需要您的 QSA 来签署它。 (嗯，IANAQSA 是新的 IANAL……？)
严格来说，PCI 不:“验证对任何包含持卡人数据的数据库的所有访问”
虽然您可能不需要对数据库进行身份验证，但您确实需要根据 PCI DSS 要求 1.3.7 将其隔离在内部网络上，与 DMZ 分开。
根据要求 6.1，您仍然需要确保补丁(它提到了数据库，但没有提及CHD 数据库)。
综上所述，从安全的角度来看，您应该考虑虽然从数据库中窃取数据可能不是问题，但注入(inject)代码到你的数据库可能是一个严重的漏洞，ala Persistent XSS。根据要求 6.5.1，这当然会间接使您的 PCI 合规性无效。

同样，您可能会在 http://security.stackexchance.com/ 上获得更好的答案...

关于security - PCI 合规性 - 未经身份验证的数据库，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/4269086/

29

4

0

文章推荐： ruby - MongoDB聚合数据生成 'latest activity'

文章推荐： MongoDB 集合

文章推荐： java - 按嵌套数组的大小排序 MongoDB 集合

文章推荐： c++ - 如何将结构转换为字节*

pci - 如何处理从 PCI 设备收集的信息
当操作系统枚举 PCI 总线时，它会从每个 PCI 设备收集信息。我的问题是，操作系统在哪里存储这些信息？每个操作系统在运行时是否在 RAM 中都有一个 64KB 的数组？最佳答案 PCI 信息被存
pci-compliance - 我可以在不符合 PCI 规定的情况下存储用户银行详细信息吗？
我们正在做一个项目，它的性质有点像拼车，我读到了 PCI 合规性，我知道如果我们处理信用卡或付款，我们必须符合 PCI 合规性我有点模棱两可，我们是否存储我们的司机银行信息例如数据库中的帐号(加密)，
pci-compliance - 所有源代码都需要符合 PCI 吗？
我们过去从未传输、处理或存储信用卡信息，因为我们通过 PayPal 完成所有操作，因此我们从不需要符合 PCI 标准。但是，我们正在推出一个新的在线商店，并通过无缝结账处理信用卡信息而不重定向到 P
pci-bus - 两个 PCI 设备之间的直接通信
我有一个 NIC 卡和一个 HDD，它们都连接在 Linux 机器的 PCIe 插槽上。理想情况下，我希望在不涉及 CPU 或最少涉及 CPU 的情况下将传入数据包传送到 HDD。是否可以像这样沿着
pci - 在任何 PCI 拓扑中，同一总线上是否可以存在两个相同的设备
根据 PCI 标准，设备是根据供应商 ID、设备 ID 和总线编号来识别的。所有相同类型的设备都具有相同的供应商 ID 和设备 ID。如果我将两个这样的设备放在同一条总线上，比如总线 0。PCI 软件
pci-dss - 我有几个关于 PCI 合规性的问题
我正在查看商家帐户，据我所知，存储送货地址符合 PCI 合规性，这是真的吗？此外，Recurly 的 API 似乎需要 SAQ C 或 SAQ D，我查看了一些示例问题: 配置标准是否包括对防火墙的要
pci-dss - 如何配置符合 PCI 标准的开发环境
我们进行的某些信用卡处理需要符合 PCI 标准。人们在其他商店是如何做到这一点的？如何保护您的 SVN？如何保护构建服务器的安全？代码如何从开发人员迁移到生产环境？最佳答案不是为了转移其他答
pci-dss - 用于存储信用卡的 PCI 级别
我只是想知道如果您存储加密的信用卡号以进行定期计费，PCI 认证级别会是多少。我计划每年交易量少于 20,000 笔，但我不确定存储的信用卡号码。最佳答案如果您确实(确实)需要存储卡号，那么您就
pci-dss - 我有几个关于 PCI 合规性的问题
我正在查看商家帐户，据我所知，存储送货地址符合 PCI 合规性，这是真的吗？此外，Recurly 的 API 似乎需要 SAQ C 或 SAQ D，我查看了一些示例问题: 配置标准是否包括对防火墙的要
pci - PCI/PCIe BAR 大小是如何确定的？
我知道 PCI 配置空间中的基地址寄存器 (BAR) 定义了 PCI 地址的起始位置，但是该区域的大小是如何确定的？当然，这是硬件的一个属性，因为只有它知道它可以处理的地址空间有多远。但是，我似乎在
pci-dss - 我必须符合 PCI DSS 吗？
我正在做的是开发一款财务软件，并将其连接到符合 pci 标准的第三方信用卡公司。我们公司是一家加拿大公司。我们不符合 pci，也不打算符合 pci。但我们希望保存 PAN 的后 4 位数字，以帮助一线
javascript - 前端的 PCI 合规性 (PCI DSS)
我目前正在从事该项目，其功能之一是电子商务，因此我们的系统应负责用户信用卡信息和其他凭证信息的安全性。我知道任何处理用户支付卡信息的网络服务都应遵循 PCI 合规性(支付卡信息数据安全标准)。作为前
pci-compliance - PCI-DSS 中是否允许信用卡的最后 4 位数字和到期日期存储？
我们需要为基于订阅/定期付款的 SaaS 应用程序存储信用卡的最后 4 位数字(以便让客户知道他们使用了哪张卡？)和到期日期(通知客户他们的卡即将到期)。 PCI DSS 中允许这两种数据存储吗？请引
c# - 确定哪些(如果有的话)PCI 设备插入了主板 PCI(e) 插槽
我正在用 C# 编写一个程序来对许多 Windows XP 工作站执行硬件审核。我需要确定哪些 PCI 设备是通过主板插槽连接的实际卡 - 而不是也使用 PCI 总线(内置于主板中)的板载设备。我
linux - 在 Linux 中，有没有办法找出哪个 PCI 卡插入哪个 PCI 插槽？
在 Linux 中，有没有办法找出哪个 PCI 卡插入哪个 PCI 插槽？ /sys/bus/pci/devices/包含许多不是卡的设备(网桥、CPU channel 等)，我无法在设备目录中找到有
pci-compliance - 存储 SEPA(IBAN 和 BIC)数据 - 需要 PCI 合规性吗？
我们想使用银行 API 从我们的银行账户到用户的银行账户进行 SEPA 转账。为此，用户需要在表格中输入他的 IBAN 和 BIC。我们获取这些数据(受 SSL 保护)并使用银行 REST API 转
sql-server-2008 - SQL Server 2008 + PCI 合规性？与 PCI 以及对称 key 有关!
我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文档，它说我需要保护信用卡号、到期日期和持卡人的姓名。永远不会存储安全代码。在他们的文档中，它只是说保护。这是说我需要加密数据库中的这 3 列
gpu - 我可以将 PCI-E 3.0 x16 GPU 放入 PCI-E 1.0 x16 插槽中吗？
关闭。此题需要details or clarity 。目前不接受答案。想要改进这个问题吗？通过 editing this post 添加详细信息并澄清问题. 已关闭 2 年前。 Improve th
Linux Kernel 4.7 (Arch ARM64) 不在/sys/bus/pci/devices/*/中为 PCI BAR0 创建 "resource0"文件
我正在做一个项目，我需要从用户空间通过 PCI BAR0 访问 FPGA 内存。我以前在旧内核中所做的是打开位于 /sys/bus/pci/devices/my_device/ 中的名为 resou
pci - 总线上的PCI设备能否监听其他设备数据？
如果我的 PCI 总线(没有 PCI-PCI 桥)有 3 个设备: spy 设备、发送方 PCI 设备和接收方设备(例如，从 PCI 到 CPU 的桥接器)。发送方开始向接收方传输数据。 spy 设

首页

博学

6Ren·AI

商城

security - PCI 合规性 - 未经身份验证的数据库