个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我们过去从未传输、处理或存储信用卡信息,因为我们通过 PayPal 完成所有操作,因此我们从不需要符合 PCI 标准。
但是,我们正在推出一个新的在线商店,并通过无缝结账处理信用卡信息而不重定向到 PayPal,我们现在需要 PCI 合规性。
我们将咨询一家合格的安全评估公司,以指导我们获得和维护 PCI 合规性。但是,我想在咨询他们之前,在他们尝试向您出售您可能不需要的所有服务之前,对我正在查看的内容有一个不错的了解。
在PCI合规性方面,我理解需要在软硬件层面做,满足12点+要求。我们将使用 Magento Professional,因为它具有符合 PCI 的支付系统,并且我们将使用符合 PCI 的网络托管公司(专用服务器)。但就软件而言,您是否需要在所有方面都符合 PCI 标准?还是只是传输、存储和处理信用卡信息的软件?
例如,根据 Magento 的说法,支付软件符合 PCI 标准,而 Magento 平台则不符合。因此,这允许您对 Magento 进行更改、修改和自定义,而不会影响支付软件的 PCI 合规性。
换句话说,我在问,您是否只需要处理传输、处理和存储信用卡信息的源代码/软件符合 PCI 标准?这些“合格的安全评估公司”给人的印象是所有源代码都需要检查 PCI 合规性,这是不可能的!
例如,在 Magento 的情况下,我可以对其进行更改和修改,并且仍然保持 PCI 兼容吗?只要支付模块不受影响,因为它符合 PCI 标准,并且网络托管、服务器和操作系统符合 PCI 标准?
我的意思是不处理信用卡的 php、javascript、mysql 东西不需要合规吗?他们当然会在同一台服务器上。
最佳答案
基本答案是视情况而定。通常,只有处理(或可以处理)PCI 的敏感和 protected 数据的源代码才需要符合 PCI 标准。但是,这意味着如果您的代码的其他区域可以访问安全区域,那么您也需要那里的安全性。例如,如果您的应用程序的另一个区域容易受到 SQL 注入(inject)的攻击,它可能会危及您的信用卡系统。这就是为什么有些人会倾向于所有软件的 PCI 合规性。必须保证可以利用编写不佳的软件来损害数据的安全性。
我说这取决于,因为做检查的人总是有一些解释的空间。然而,好消息是,在所有标准中,PCI 似乎是最直接和最具体的关于您需要做什么和不能做什么的标准。以下是有关 PCI 直接说明的更多信息:
https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf
这里的基本问题是确保该站点不能在任何地方被利用。如果您在应用程序区域(信用卡数据与普通网站)之间建立了足够的“防火墙”,那么您只需扫描一些代码就会大有帮助。此外,正如上述文档所述,您不必为了符合 PCI 标准而进行源代码审查。但是,您的应用程序需要进行广泛的测试,以确保它不受典型漏洞的影响。
关于pci-compliance - 所有源代码都需要符合 PCI 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6194758/
26
4
0
当操作系统枚举 PCI 总线时,它会从每个 PCI 设备收集信息。我的问题是,操作系统在哪里存储这些信息?每个操作系统在运行时是否在 RAM 中都有一个 64KB 的数组? 最佳答案 PCI 信息被存
我们正在做一个项目,它的性质有点像拼车,我读到了 PCI 合规性,我知道如果我们处理信用卡或付款,我们必须符合 PCI 合规性我有点模棱两可,我们是否存储我们的司机银行信息例如数据库中的帐号(加密),
我们过去从未传输、处理或存储信用卡信息,因为我们通过 PayPal 完成所有操作,因此我们从不需要符合 PCI 标准。 但是,我们正在推出一个新的在线商店,并通过无缝结账处理信用卡信息而不重定向到 P
我有一个 NIC 卡和一个 HDD,它们都连接在 Linux 机器的 PCIe 插槽上。理想情况下,我希望在不涉及 CPU 或最少涉及 CPU 的情况下将传入数据包传送到 HDD。是否可以像这样沿着
根据 PCI 标准,设备是根据供应商 ID、设备 ID 和总线编号来识别的。所有相同类型的设备都具有相同的供应商 ID 和设备 ID。如果我将两个这样的设备放在同一条总线上,比如总线 0。PCI 软件
我正在查看商家帐户,据我所知,存储送货地址符合 PCI 合规性,这是真的吗?此外,Recurly 的 API 似乎需要 SAQ C 或 SAQ D,我查看了一些示例问题: 配置标准是否包括对防火墙的要
我们进行的某些信用卡处理需要符合 PCI 标准。人们在其他商店是如何做到这一点的? 如何保护您的 SVN? 如何保护构建服务器的安全? 代码如何从开发人员迁移到生产环境? 最佳答案 不是为了转移其他答
我只是想知道如果您存储加密的信用卡号以进行定期计费,PCI 认证级别会是多少。 我计划每年交易量少于 20,000 笔,但我不确定存储的信用卡号码。 最佳答案 如果您确实(确实)需要存储卡号,那么您就
我正在查看商家帐户,据我所知,存储送货地址符合 PCI 合规性,这是真的吗?此外,Recurly 的 API 似乎需要 SAQ C 或 SAQ D,我查看了一些示例问题: 配置标准是否包括对防火墙的要
我知道 PCI 配置空间中的基地址寄存器 (BAR) 定义了 PCI 地址的起始位置,但是该区域的大小是如何确定的? 当然,这是硬件的一个属性,因为只有它知道它可以处理的地址空间有多远。但是,我似乎在
我正在做的是开发一款财务软件,并将其连接到符合 pci 标准的第三方信用卡公司。我们公司是一家加拿大公司。我们不符合 pci,也不打算符合 pci。但我们希望保存 PAN 的后 4 位数字,以帮助一线
我目前正在从事该项目,其功能之一是电子商务,因此我们的系统应负责用户信用卡信息和其他凭证信息的安全性。 我知道任何处理用户支付卡信息的网络服务都应遵循 PCI 合规性(支付卡信息数据安全标准)。作为前
我们需要为基于订阅/定期付款的 SaaS 应用程序存储信用卡的最后 4 位数字(以便让客户知道他们使用了哪张卡?)和到期日期(通知客户他们的卡即将到期)。 PCI DSS 中允许这两种数据存储吗?请引
我正在用 C# 编写一个程序来对许多 Windows XP 工作站执行硬件审核。 我需要确定哪些 PCI 设备是通过主板插槽连接的实际卡 - 而不是也使用 PCI 总线(内置于主板中)的板载设备。 我
在 Linux 中,有没有办法找出哪个 PCI 卡插入哪个 PCI 插槽? /sys/bus/pci/devices/包含许多不是卡的设备(网桥、CPU channel 等),我无法在设备目录中找到有
我们想使用银行 API 从我们的银行账户到用户的银行账户进行 SEPA 转账。为此,用户需要在表格中输入他的 IBAN 和 BIC。我们获取这些数据(受 SSL 保护)并使用银行 REST API 转
我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文档,它说我需要保护信用卡号、到期日期和持卡人的姓名。永远不会存储安全代码。 在他们的文档中,它只是说保护。这是说我需要加密数据库中的这 3 列
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 2 年前。 Improve th
我正在做一个项目,我需要从用户空间通过 PCI BAR0 访问 FPGA 内存。 我以前在旧内核中所做的是打开位于 /sys/bus/pci/devices/my_device/ 中的名为 resou
如果我的 PCI 总线(没有 PCI-PCI 桥)有 3 个设备: spy 设备、发送方 PCI 设备和接收方设备(例如,从 PCI 到 CPU 的桥接器)。 发送方开始向接收方传输数据。 spy 设
我是一名优秀的程序员,十分优秀!