sql-server-2008 - SQL Server 2008 + PCI 合规性？与 PCI 以及对称 key 有关!

Question

我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文档，它说我需要保护信用卡号、到期日期和持卡人的姓名。永远不会存储安全代码。

在他们的文档中，它只是说保护。这是说我需要加密数据库中的这 3 列吗？我以为只有数字是需要加密的数据。无论哪种方式，我都很好。

如果我需要加密所有三列，我是共享一个证书并拥有 3 个对称 key ，还是只需要每个 key 中的 1 个，并且该对称 key 用于所有 3 列？我问的原因是在关于加密列的 BoL 文档中， key 是专门以他们正在加密的列命名的。

感谢所有的帮助!

Answer 1

如果您存储 PAN(卡号)，那么它绝对必须加密。

如果您存储持卡人姓名、到期日期、发行编号(并且它们可以链接到 PAN)，那么它们应该被加密，但是(我的理解)不是绝对必要的。 PCI-DSS 仅声明 PAN 必须至少加密。

CV2/AVS/CSC 代码不能在授权后存储，理想情况下，您想证明它根本没有存储(例如 - 仅在执行授权时保存在内存中)

关于证书/ key - 您可以只使用一个 key 来加密所有与卡相关的数据。最佳做法是不要将 key 用于多种用途，因此如果您有其他(与卡无关的)数据已加密，请为此使用单独的 key 。

最困难的部分是您还没有真正详细提到的部分——这就是 key 管理。为了满足 PCI 要求， key 必须存储在数据库的单独物理盒中，并且您需要能够至少每年更改一次 key 。 SQL 2008 通过 Extensible Key Management (EKM) 支持这一点

所有这些要点最好与独立的 QSA(合格安全评估员)讨论，您在某些时候需要参与其中，无论为了满足 PCI 合规性。您的 QSA 将能够就诸如此类的问题为您提供指导，最终您应该遵循他/她的建议以符合合规性。

值得一提的是，大多数人很快就会意识到 PCI 合规性的负担有多大，并希望通过使用第 3 方支付网关来最大限度地减少这种负担。大多数支付网关将允许您执行授权/结算并将卡的详细信息存储在他们(已经符合 PCI 标准)的服务器上。然后，如果您需要对该卡执行进一步的收费/退款，您只需要存储一个引用这些付款详细信息的 TokenId。

祝你好运!