- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文档,它说我需要保护信用卡号、到期日期和持卡人的姓名。永远不会存储安全代码。
在他们的文档中,它只是说保护。这是说我需要加密数据库中的这 3 列吗?我以为只有数字是需要加密的数据。无论哪种方式,我都很好。
如果我需要加密所有三列,我是共享一个证书并拥有 3 个对称 key ,还是只需要每个 key 中的 1 个,并且该对称 key 用于所有 3 列?我问的原因是在关于加密列的 BoL 文档中, key 是专门以他们正在加密的列命名的。
感谢所有的帮助!
最佳答案
如果您存储 PAN(卡号),那么它绝对必须加密。
如果您存储持卡人姓名、到期日期、发行编号(并且它们可以链接到 PAN),那么它们应该被加密,但是(我的理解)不是绝对必要的。 PCI-DSS 仅声明 PAN 必须至少加密。
CV2/AVS/CSC 代码不能在授权后存储,理想情况下,您想证明它根本没有存储(例如 - 仅在执行授权时保存在内存中)
关于证书/ key - 您可以只使用一个 key 来加密所有与卡相关的数据。最佳做法是不要将 key 用于多种用途,因此如果您有其他(与卡无关的)数据已加密,请为此使用单独的 key 。
最困难的部分是您还没有真正详细提到的部分——这就是 key 管理。为了满足 PCI 要求, key 必须存储在数据库的单独物理盒中,并且您需要能够至少每年更改一次 key 。 SQL 2008 通过 Extensible Key Management (EKM) 支持这一点
所有这些要点最好与独立的 QSA(合格安全评估员)讨论,您在某些时候需要参与其中,无论为了满足 PCI 合规性。您的 QSA 将能够就诸如此类的问题为您提供指导,最终您应该遵循他/她的建议以符合合规性。
值得一提的是,大多数人很快就会意识到 PCI 合规性的负担有多大,并希望通过使用第 3 方支付网关来最大限度地减少这种负担。大多数支付网关将允许您执行授权/结算并将卡的详细信息存储在他们(已经符合 PCI 标准)的服务器上。然后,如果您需要对该卡执行进一步的收费/退款,您只需要存储一个引用这些付款详细信息的 TokenId。
祝你好运!
关于sql-server-2008 - SQL Server 2008 + PCI 合规性?与 PCI 以及对称 key 有关!,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2211685/
SQL、PL-SQL 和 T-SQL 之间有什么区别? 谁能解释一下这三者之间的区别,并提供每一个的相关使用场景? 最佳答案 SQL 是一种对集合进行操作的查询语言。 它或多或少是标准化的,几乎所有关
这个问题已经有答案了: What is the difference between SQL, PL-SQL and T-SQL? (6 个回答) 已关闭 9 年前。 我对 SQL 的了解足以完成我的
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列,该列有一个默认约束为 GETDATE()。 使用 LINQ 时,我没有为 RegistrationDate 列提供任
我有一个可能属于以下类型的字符串 string expected result 15-th-rp 15 15/12-rp 12 15-12-th
很难说出这里问的是什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或言辞激烈,无法以目前的形式合理回答。如需帮助澄清此问题以便可以重新打开,visit the help center . 9年前关闭
我有一个存储过程(称为 sprocGetArticles),它从文章表中返回文章列表。这个存储过程没有任何参数。 用户可以对每篇文章发表评论,我将这些评论存储在由文章 ID 链接的评论表中。 有什么方
我目前正在做一个 *cough*Oracle*cough* 数据库主题。讲师介绍embedded SQL作为让其他语言(例如 C、C++)与(Oracle)数据库交互的方式。 我自己做了一些数据库工作
SQL Server 中 SQL 语句的最大长度是多少?这个长度是否取决于 SQL Server 的版本? 例如,在 DECLARE @SQLStatement NVARCHAR(MAX) = N'S
这个问题已经有答案了: Simple way to transpose columns and rows in SQL? (9 个回答) 已关闭 8 年前。 CallType
预先感谢您对此提供的任何帮助。 假设我有一个查询,可以比较跨年的数据,从某个任意年份开始,永无止境(进入 future ),每年同一时期直到最后一个完整的月份(其特点是一月数据永远不会显示至 2 月
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列,该列的默认约束为 GETDATE()。 使用 LINQ 时,我没有为 RegistrationDate 列提供任何数
下面是我试图用来检查存储过程是否不存在然后创建过程的 sql。它会抛出一个错误:Incorrect syntax near the keyword 'PROCEDURE' IF NOT EXISTS
我有一个同事声称动态 SQL 在许多情况下比静态 SQL 执行得更快,所以我经常看到 DSQL 到处都是。除了明显的缺点,比如在运行之前无法检测到错误并且更难阅读,这是否准确?当我问他为什么一直使用
来自 lobodava 的动态 SQL 查询是: declare @sql nvarchar(4000) = N';with cteColumnts (ORDINAL_POSITION, CO
使用 SQL Server 中的存储过程执行动态 SQL 命令的现实优点和缺点是什么 EXEC (@SQL) 对比 EXEC SP_EXECUTESQL @SQL ? 最佳答案 sp_executes
我有这个有效的 SQL 查询: select sum(dbos.Points) as Points, dboseasons.Year from dbo.StatLines dbos i
我正在调试一些构建成功运行的 SQL 命令的代码。 然而,在查询结束时,查询结果似乎被写入了一个文本文件。 完整的查询如下 echo SELECT DATE,DATETABLE,DATE,APPDAT
我有一些创建表的 .sql 文件(MS SQL 数据库): 表_1.sql: IF OBJECT_ID (N'my_schema.table1', N'U') IS NOT NULL DROP TAB
我写了下面的 SQL 存储过程,它一直给我错误@pid = SELECT MAX(... 整个过程是: Alter PROCEDURE insert_partyco @pname varchar(20
我在 SQL Server 2005 中有包含两列 Fruit 和 Color 的表,如下所示 Fruit Colour Apple Red Orange
我是一名优秀的程序员,十分优秀!