gpt4 book ai didi

pci-compliance - 所有源代码都需要符合 PCI 吗?

转载 作者:行者123 更新时间:2023-12-04 19:19:08 26 4
gpt4 key购买 nike

我们过去从未传输、处理或存储信用卡信息,因为我们通过 PayPal 完成所有操作,因此我们从不需要符合 PCI 标准。

但是,我们正在推出一个新的在线商店,并通过无缝结账处理信用卡信息而不重定向到 PayPal,我们现在需要 PCI 合规性。

我们将咨询一家合格的安全评估公司,以指导我们获得和维护 PCI 合规性。但是,我想在咨询他们之前,在他们尝试向您出售您可能不需要的所有服务之前,对我正在查看的内容有一个不错的了解。

在PCI合规性方面,我理解需要在软硬件层面做,满足12点+要求。我们将使用 Magento Professional,因为它具有符合 PCI 的支付系统,并且我们将使用符合 PCI 的网络托管公司(专用服务器)。但就软件而言,您是否需要在所有方面都符合 PCI 标准?还是只是传输、存储和处理信用卡信息的软件?

例如,根据 Magento 的说法,支付软件符合 PCI 标准,而 Magento 平台则不符合。因此,这允许您对 Magento 进行更改、修改和自定义,而不会影响支付软件的 PCI 合规性。

换句话说,我在问,您是否只需要处理传输、处理和存储信用卡信息的源代码/软件符合 PCI 标准?这些“合格的安全评估公司”给人的印象是所有源代码都需要检查 PCI 合规性,这是不可能的!

例如,在 Magento 的情况下,我可以对其进行更改和修改,并且仍然保持 PCI 兼容吗?只要支付模块不受影响,因为它符合 PCI 标准,并且网络托管、服务器和操作系统符合 PCI 标准?

我的意思是不处理信用卡的 php、javascript、mysql 东西不需​​要合规吗?他们当然会在同一台服务器上。

最佳答案

基本答案是视情况而定。通常,只有处理(或可以处理)PCI 的敏感和 protected 数据的源代码才需要符合 PCI 标准。但是,这意味着如果您的代码的其他区域可以访问安全区域,那么您也需要那里的安全性。例如,如果您的应用程序的另一个区域容易受到 SQL 注入(inject)的攻击,它可能会危及您的信用卡系统。这就是为什么有些人会倾向于所有软件的 PCI 合规性。必须保证可以利用编写不佳的软件来损害数据的安全性。

我说这取决于,因为做检查的人总是有一些解释的空间。然而,好消息是,在所有标准中,PCI 似乎是最直接和最具体的关于您需要做什么和不能做什么的标准。以下是有关 PCI 直接说明的更多信息:

https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf

这里的基本问题是确保该站点不能在任何地方被利用。如果您在应用程序区域(信用卡数据与普通网站)之间建立了足够的“防火墙”,那么您只需扫描一些代码就会大有帮助。此外,正如上述文档所述,您不必为了符合 PCI 标准而进行源代码审查。但是,您的应用程序需要进行广泛的测试,以确保它不受典型漏洞的影响。

关于pci-compliance - 所有源代码都需要符合 PCI 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6194758/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com