4

私は現在、顧客のクレジットカードに自動的に請求できる顧客用のアプリケーションを作成しています。

クレジット カード情報、さらに言えば、社会保障番号や口座番号などのその他の機密情報を安全に保存してアクセスするためのベスト プラクティスについて知りたいです。

なんらかのタイプの暗号化が採用されると想定していますが、深く掘り下げる前に、他の人がこれらのタイプの要件をどのように処理しているかを知りたいと思いました.

それは問題ではありませんが、データベースには Microsoft SQL Server を使用し、C# と ASP.NET を使用してソフトウェアを設計しています。

4

6 に答える 6

5

PCI 要件をお読みください。すべてがそこにあります。

実際には、それらに従う必要があります。

于 2008-10-08T22:47:36.020 に答える
3

1-本当に必要な場合を除いて、SSNを収集することすらしないでください。そして、あなたが銀行や政府でない限り、あなたはそうではない可能性があります。

2-本当に必要な場合を除いて、他の機密情報を収集しないでください

3-実際に保持する必要のあるものには、適切なコントロール(データベース用に別のマシン、ファイアウォール、アクセス制御など)を使用します。

于 2008-10-08T23:01:31.330 に答える
3

NSA ガイドラインなど、積極的な標準を使用して、OS と物理的なセキュリティの両方の観点からホスト システムを保護します。

データベースを Web サーバーやその他の機能とは別のシステムに配置して、物理的なアクセスや権限昇格の悪用を防ぎます。

SQL インジェクション攻撃や同様のエクスプロイトを回避するために、防御的にプログラミングします。

開発するときは、まずセキュリティを考慮してプログラミングしてください。後で戻ってセキュリティを適用するのは難しく、エラーが発生しやすくなります。

アプリケーションのさまざまな部分を分離するようにしてください...つまり、「パブリック」アクセスと「プライベート」アクセスに同じビューアーまたはコントローラーを使用しないでください。

このデータの取り扱いに関するすべての地域の法律を認識し、遵守してください...そこにはたくさんの法律があります。

侵害が発生した場合に顧客に通知するために、封筒を用意しておいてください。2,600 万人の顧客の情報が失われた場合、違反を通知するための法定期間を満たすのに十分な封筒を入手できない可能性があります。

于 2008-10-08T23:27:01.027 に答える
1

しないでください-つまり、本当に必要ですか?

あなたのために詳細を受け取り、支払いが行われたときにあなたにメッセージを送ることができるサードパーティの支払いサービスの強力な市場があります。PayPalのような代替手段があり、MD5またはSHA1でデータを保護できます。つまり、正確な数字列などの雑学クイズを破棄します。

于 2008-10-08T22:55:05.583 に答える
1

アプリケーションごとに異なる PCI 規格への準拠が必要です。アプリケーションが単純に CC 番号を収集し、それをサードパーティの PCI 準拠の支払いゲートウェイに送信する場合、カード番号や CVV を保存しない限り、準拠要件はそれほど悪くありません。

ロギングに関しては、クレジット カード番号を「削除」する必要があります。たとえば、最初の 6 桁と最後の 3 桁は保持し、中間の桁は隠します。CVV をまったくログに記録しません。

PCI 標準ドキュメントは非常に詳細に説明されていますが、必要なコンプライアンスのレベルに関するアプリケーションの要件によって異なります。

于 2008-10-08T23:22:54.657 に答える
0

OWASPの脅威に精通し、アプリケーションとフレームワークでそれらに対抗する方法を正確に理解してください。SQL インジェクションやクロスサイト スクリプティング攻撃に対して、間抜けな中途半端な解決策を採用している人がどれだけいるかは信じがたいことです。

于 2008-10-08T23:51:06.207 に答える