0

私たちは、クライアントが顧客の取引やレポートを確認するための基本的なユーザーインターフェイスである管理Webサイトを持っています。これは、TelerikMVCコントロールを使用してASP.netMVC3で開発されています。当社の製品の主な要点はWebサービスです。PCIに準拠することを検討しています。Webサイトでの認証はまったく安全ではなく、カスタムメンバーシップやフォーム認証はありません。ハッシュ化されたパスワードはデータベースに保存されます。ユーザー認証を行うために使用できる、すぐに使用できるサードパーティの「PCI準拠」ライブラリがあるかどうかを確認したかったのですが。そうでない場合、メンバーシップ内でPCIコンプライアンスを達成するための最良の方法は何ですか?

また、現在、WebサイトとWebサービスの両方のロギングにオープンソースのlog4netを使用しています。PCIに準拠した他の「ロギング」ソリューションはありますか?ロギングを製品レベルとネットワークレベルの両方で使用できるのが最善です。

すべての助けに感謝します。

ありがとう、SDD

4

1 に答える 1

0

認証に関して、PCI では、すべてのパスワードを暗号化またはハッシュ化する必要があり、ハッシュ化が最も簡単な実装です。

MD5 の使用は避けてください。PBKDF2 を使用することをお勧めします。http://code.google.com/p/stackid/source/browse/OpenIdProvider/Current.cs#1135で、stackoverflow が実際に使用している参照コードも確認してください。

Log4net はロギングに適していますが、UdpAppender を使用してログを syslog サーバーに送信する必要があります。少なくとも PCI ログ要件で必要とされるものをログに記録し、パスワードやクレジット カード番号をログに記録しないようにしてください。

于 2012-08-20T21:38:32.903 に答える