Jasypt の StandardPBEStringEncryptor を使用する場合、Spring Bean 構成ファイルでパスワードを明示的に設定する必要があります。Bean 構成ファイルにパスワードを入れても安全ですか? 暗号化パスワードを保存することは、PCI コンプライアンスで問題になりますか?
質問する
2108 次
3 に答える
1
これはPCI 準拠ではありません。データ暗号化キーは平文で保存できません。特定のポイントは 3.5.2 です。
システム構成ファイルを調べて、キーが暗号化された形式で保存されていること、およびキー暗号化キーがデータ暗号化キーとは別に保存されていることを確認します。
おそらく、3.6.6 (鍵の知識の分割と鍵の二重管理) など、鍵管理領域に関する他の問題もあるでしょう。
分割された知識と鍵の二重管理を必要とする鍵管理手順が実装されていることを確認します (たとえば、鍵全体を再構築するために、それぞれが鍵の自分の部分しか知らない 2 人または 3 人が必要です)。
鍵の管理は、PCI コンプライアンスの最も困難な部分です。カードデータを管理するために、(すでに PCI に準拠している) サードパーティを使用することを検討することをお勧めします。独自に導入する場合は、実装を計画しているセキュリティを評価するために、できるだけ早い機会に QSA (PCI Qualified Security Assesor) の支援を受けることをお勧めします。最終的には、PCI 要件を満たすために説得する必要があるのは QSA であり、QSA は喜んでアドバイスします。
于 2010-07-26T11:00:43.063 に答える
0
対称鍵をどこかに保存する必要があります。構成ファイルは、誰もアクセスできない限り、適切な場所です。
于 2010-07-22T18:24:11.170 に答える