1

現在、クライアント向けに(OpenCartを使用して)オンラインショップを開設しています。すべての支払いと取引は支払いゲートウェイ(PayPalなど)を介して実行されるため、Webサイトに支払い情報(銀行の詳細、カード番号など)が保存されることはありません。

しかし、私のクライアントは依然として顧客の個人情報(住所、生年月日、氏名など)の安全性について懸念しています。SSLを使用すると、クライアントとサーバー間で転送されるデータはすべて暗号化され、サーバー上の個人情報は暗号化されないのが普通であると説明しました(ソニーのような大企業でも暗号化されていないことを指摘しました) 。

もちろん、MySQLのコンテンツを暗号化することは完全に可能ですが、もちろん、サーバーにキーを配置する必要があります。そして、誰かがサーバーに侵入した場合、その人もキーを取得し、データベースのコンテンツを復号化するだけです。

では、個人情報をより安全に保存することに関して、私にできることは他にありますか?私が見逃している「産業技術」はありますか?業界標準では個人情報がプレーンテキストで保存されていると考えるのは正しいですか?

ありがとう。

4

1 に答える 1

1

厳密に要求されていない場合でも、シナリオのPCI準拠を達成するようにしてください。これにより、クライアントに安心感を与え、業界のベストプラクティスに従う必要があります。また、サーバーをスキャンする必要があることの1つです。これにより、サーバーのセキュリティに基本的な信頼が確立されます。

PCIコンプライアンスは、セキュリティを保証するものではありません。それは基本的にあなたのドアに鍵をかけ、窓が閉まっていることを確認することです。

PCIコンプライアンスがチェックしない、またはチェックできない最も重要なことは、Webアプリ自体が脆弱かどうかです。アプリのどこかにSQLインジェクション攻撃ベクトルがある場合(たとえば)、データベース全体を暗号化して地下の保管庫にロックしたとしても、データが盗まれる可能性があります。したがって、アプリケーションを攻撃しようとするアプリケーションの自動テストカバレッジを取得します。これらのテストを定期的に実行してください。

PCIコンプライアンスへのいくつかのランダムなグーグルガイド:

非常に注意してください。いずれかの段階でWebサーバーがカードデータに触れる場合でも、 PCIに準拠している必要があります。CCデータを保存し ないからといって、PCIコンプライアンスが適用されないというわけではありません。コンプライアンスレベルはそれほど厳しくありませんが、それでもコンプライアンスレベルはあります。

PCIコンプライアンスがシナリオに適用されるかどうかは私にはわかりません。基本的に、顧客がペイパルのWebサイトにカード番号を直接入力し、カード番号がわからない場合は、PCIに準拠している必要はありません。ただし、カード番号をWebサイトに入力、サーバーがそのデータをAPIを介してPaypalに渡す場合は、入力したデータを保存してなくても、 PCIに準拠している必要があります。

于 2012-08-02T17:12:41.570 に答える