- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我是一名软件工程师,目前正在开发另一款支付应用程序(我的第三个),该应用程序必须符合 PCI PA-DSS 合规性。我正在重新检查 PA-DSS 文档,我想知道过去我是否在应用程序的安全性方面过度劳累,而我本来可以使用 TLS 和用户/通行证。因此,我的问题是,在实现 PA-DSS 安全应用程序时:
对于身份验证和通信安全来说,拥有 TLS + 用户/密码就足够了吗?
PA-DSS 标准的哪些部分证明需要在 Web 方法调用之间实现消息哈希和滚动哈希? TLS 实现可靠的消息,但不会在消息之间滚动哈希和持久调用者。实现滚动哈希会产生任何影响吗(从 PA-DSS 的角度来看)?
如果支付处理应用程序存储 PII 信息并为不同的公司提供服务(意味着公司 A 和公司 B 可以在此类应用程序中拥有帐户),则没有具体要求规定 PII 信息不能存储在同一个应用程序中DB,但在过去,PA-QSA 一直坚持认为这是一个问题。问题是:这真的有必要吗?我无法想象 Authorize.NET,一家拥有数千个客户和处理商的公司有不同的数据库来存储通过每个客户公司处理的信用卡。
提前致谢!
<小时/>更新 #1:
假设 DMZ 和安全区中的所有页面和 Web 服务都将为所有通信 channel 、页面和服务采用 HTTPS。
关于#3,问题不在于敏感信息存储的位置或安全性。这个问题更适合质疑在同一数据库中共享来自不同来源(例如 AT&T 和 Verizon 等客户)的敏感信息的能力。
最佳答案
这里有一些问题。
1) 仅对用户名+密码使用 TLS 仍然是一个漏洞。其违反了owasp a9使用 firehseep 风格的攻击劫持系统上的任何帐户都很简单。
我知道 PA-DSS 2.0 并未体现整个 owasp top 10,但应注意要求 12.1:
12.1 Instruct customers to encrypt all non-console administrative access with strong cryptography, using technologies such as SSH, VPN, or SSL/TLS for web-based management and other non-console administrative access.
其中将包括一个管理 http 接口(interface)。
2) PA-DSS 建议使用真正的传输层安全性,例如:VPN 和 TLS/SSL。我不认为需要滚动哈希,而且说实话这不是一个非常安全的设计。此类流量需要完整的传输层保护。
3)不要忘记要求 9:
9. Cardholder data must never be stored on a server connected to the Internet
关于security - TLS 足够安全吗?需要在 PA-DSS 支付应用程序中滚动哈希吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5327443/
我正在做的是开发一款财务软件,并将其连接到符合 pci 标准的第三方信用卡公司。我们公司是一家加拿大公司。我们不符合 pci,也不打算符合 pci。但我们希望保存 PAN 的后 4 位数字,以帮助一线
目录 。 1、简介 1.1 版本介绍 2、部署前注意事项 3、部署方法 3.1 安装前设置
我刚刚使用 itext 签署了文档。我也有 LTV。 I read in itext documentation - "The DSS contains references to certifica
我们在我们的一个网站上进行了 PCI 扫描,由我们的一位客户传递给我们。有许多看起来像这样的漏洞报告: Network service: 80/443 Application URL: http://
我需要实现一个解决方案,允许移动应用程序根据支付网关服务进行支付。 我发送的数据是卡详细信息和付款数据本身。 每次付款时都输入银行卡详细信息是不切实际的,所以...所以我分析了以下替代方案: 将数据卡
我想问一个关于dss的问题。我正在创建查询以通过从 db postrgresql 检索数据来公开服务。我想公开一项服务,该服务基于传入参数(表名)检索该表的所有内容。但我有一个问题。我事先不知道该表中
我们正在为拥有自己的支付处理解决方案的客户开发移动应用程序(iOS 和 Android)。该应用面向公众,个人消费者将在自己的手机上使用。 应用程序必须通过 SOAP API 与支付处理解决方案交互。
集成的 Cassandra 服务器(版本 0.7.x)是否与 WSO2 DSS(版本 2.6)松耦合?使用较新版本的 Cassandra(例如 0.8.x)是否会影响低级别的 DSS? 谢谢 最佳答案
Azue Front Door 支持 TLS 版本 1.0、1.1 和 1.2。目前不支持从 Azure Front Door 中删除 TLS 版本 1.0、1.1。 PCI 标准要求 TLS 1.0
我正在查看商家帐户,据我所知,存储送货地址符合 PCI 合规性,这是真的吗?此外,Recurly 的 API 似乎需要 SAQ C 或 SAQ D,我查看了一些示例问题: 配置标准是否包括对防火墙的要
我们进行的某些信用卡处理需要符合 PCI 标准。人们在其他商店是如何做到这一点的? 如何保护您的 SVN? 如何保护构建服务器的安全? 代码如何从开发人员迁移到生产环境? 最佳答案 不是为了转移其他答
我只是想知道如果您存储加密的信用卡号以进行定期计费,PCI 认证级别会是多少。 我计划每年交易量少于 20,000 笔,但我不确定存储的信用卡号码。 最佳答案 如果您确实(确实)需要存储卡号,那么您就
我正在查看商家帐户,据我所知,存储送货地址符合 PCI 合规性,这是真的吗?此外,Recurly 的 API 似乎需要 SAQ C 或 SAQ D,我查看了一些示例问题: 配置标准是否包括对防火墙的要
Michael Rembetsy 来自 etsy.com offers some insight在将软件组件划分为 PCI 和非 PCI 环境方面。 我正在尝试确定软件架构方面的最佳解决方案。将与 P
PCI DSS 规则之一是: “PCI DSS 适用于持卡人数据环境中包含或连接的所有系统组件” 您将如何处理 SCM/发布自动化服务器?必须从开发网段中的某些服务器打开一个端口,使其通往产品网络设置
现在,我必须了解什么是 PCI DSS 以及与数据库加密相关的 PCI DSS 要求示例,因为我们公司的业务模型项目。 另外,如何在MySQL DB中经济地处理这些数据库加密系统?最好的解决方案是什么
我们必须确保此临时数据将持久存在并且删除符合国防部的安全标准(删除磁盘上的数据/避免在磁盘上存储)。 我想将使用 RIJNDAEL 256 算法加密的数据 + 精心设计的 secret 存储到内存缓存
下面的链接已经回答了与我所问类似的问题。 Paypal payments pro and pci compliance 但是这个问题已经有三年了。所以,如果有人能给我一个最新的答案,我将不胜感激。 在
我正在开发一个必须符合 PCI PA-DSS 标准的 Android 应用程序,我的问题是关于 PA-DSS_v3-1 文档中的此要求 3.3.1 Use strong cryptography to
本文整理了Java中be.fedict.eid.dss.spi.utils.XAdESValidation类的一些代码示例,展示了XAdESValidation类的具体用法。这些代码示例主要来源于Gi
我是一名优秀的程序员,十分优秀!