pci-dss - 我有几个关于 PCI 合规性的问题

Question

我正在查看商家帐户，据我所知，存储送货地址符合 PCI 合规性，这是真的吗？此外，Recurly 的 API 似乎需要 SAQ C 或 SAQ D，我查看了一些示例问题:

• 配置标准是否包括对防火墙的要求每个互联网连接以及任何非军事区 (DMZ) 和内部网络区域？
• 是否有正式的流程来批准和测试所有外部网络连接以及对防火墙和路由器配置的更改？

我的意思是，我认为大多数人都不会。 PCI 合规性是否仅适用于知名公司？我敢肯定很多人都想要无缝结账，而且肯定有一些服务可以避免 PCI 合规性，那么为什么要获得商家帐户呢？值得付出额外的努力吗？我的意思是，看到这些示例问题已经很麻烦了。

Answer 1

PCI compliance is required for any merchant that accepts credit cards .

最好与专门从事 PCI 合规性的公司交谈。无论如何，您可能需要聘请审计员来验证您的合规水平。我认为这是提供完整答案的错误论坛。

但是，针对您的一些观点:

• PCI 不禁止存储送货地址。大多数购物车都是这样做的。
  • 但是，作为客户，如果存储我地址的企业将其视为有值(value)的敏感信息，并像保护信用卡数据或社会安全号码一样保护它，我将不胜感激。
• DMZ/防火墙配置对于站点来说完全是题外话，但总的来说，是的。
• 您的公司/企业应该有自己的正式测试/验证/文档流程，并且您需要证明您拥有此流程(通过将其提供给您的审核员)并证明您遵循它(显示更改与配置更改相关的票证请求，或适用于您的情况的任何内容)

另外，请记住，PCI 合规性应被视为良好安全实践的最低限度。符合 PCI 标准并不意味着您是安全的。这意味着您符合该特定标准。

许多符合 PCI 标准的公司遭到破坏，并丢失了关键/敏感数据，包括导致其客户/员工身份被盗的数据类型。

几年前我们开始进行审核时，大开眼界，大开眼界后，我们集成了安全开发生命周期，需要大量培训，随着时间的推移，我们了解到 PCI 合规性只是一个开始。 PCI 未涵盖的内容太多了。

无论如何，我会开始here ，然后确定您需要达到的级别。

至于这是一个巨大的麻烦，你是对的......

良好的安全性很麻烦。它需要对细节进行乏味的关注。你不只是出去写代码，你还做威胁建模、代码审查、渗透测试。您的整个过程都应该记录在案，从需求收集到发布的每一步都应解决安全问题。您应该考虑关注点分离，以确保任何一个流氓开发人员在不满时都无法感染您的网站，或者系统管理员无法锁定所有内容并退出(就像不久前加利福尼亚州的一个城市所发生的那样)前)。

如果您想要任何保护，您必须了解的细节数量多得惊人，而且您仍然必须接受这样一个事实，即您永远无法达到 100% 无懈可击。

而这仅仅是个开始。

它增加了很多开销，而且很麻烦。

但是这个巨大的麻烦是值得的。当您考虑被破坏的成本时，不仅对您，而且对您的客户、业务合作伙伴等。