クレジットカード番号をデータベースに保存するために従うべきPCIルールは何ですか?
1)これは許可されていますか?2)もしそうなら、私たちはどのような規則に従わなければなりませんか?
このサイトhttps://www.pcisecuritystandards.org/security_standards/index.phpを見てい ますが、ここでどのドキュメントを読む必要がありますか?
21765 次
3 に答える
48
1) はい、許可されていますが、非常にお勧めできません。データベースにこの情報があると、ハッカーにとって非常に魅力的なターゲットになります. そして、それを守れると思うなら、もう一度考え直してください。ハッカーは優れたセキュリティで企業のセキュリティを打ち破ってきました。セキュリティが向上することはありません。
2)このガイドで概説されている PCI 規則に従う必要があります。しかし、このガイドの方が理解しやすいかもしれません。知っておくべきことについては、14 ページを参照してください。基本的には保存できますが、PCI 規格に従って暗号化する必要があります。サーバーとネットワークも安全でなければなりません。パズルのピースが PCI に準拠していない場合、クレジット カード番号を保存することはできません。これは、ソリューションとしてほとんどの共有ホスティング会社を除外します.
于 2010-11-29T14:37:23.493 に答える
41
これは直接的な答えではなく、提案です。反対票を投じないでください。私はただ助けようとしているだけです。PCI 準拠について多くの経験を積んだ結果、可能な限りシステムにクレジット カード情報を持たないようにすることを強くお勧めします。
私たちが使用した (大きな成功を収めた) アプローチはトークン化です。クレジット カード情報を収集して保存するサービスがあります。API 呼び出しを行ってトークン (通常は、クレジット カードのプライマリ アカウント番号を表す何らかのハッシュ) を取得します。カードに請求する場合は、トークンとその他の取引の詳細を渡すと、支払いが処理されます。
このプロセスに関する簡単な記事は次のとおりです 。
最近では、これには多くのオプションがあります。
- https://www.adyen.com/blog/tokenization-payment-technology-guide
- http://www.elementps.com/software-providers/security/pass/
- http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/
このアプローチの詳細については、Google 検索: クレジット カードのトークン化を使用できます。
于 2012-01-18T16:50:51.450 に答える
2
できますが、費用がかかります。
別のサービスまたは専用の DNS サーバーによって DNS が提供される必要があります。
SQL Server データベースを実行する専用サーバーが必要です。
PCI 承認済みのソフトウェアを使用する必要があります。
データベース サーバーは、Web サーバーと同じデータ センター内にある必要があります。そうしないと、パフォーマンスが低下します。
そのため、PCI セキュア ホストでサイトをホストするか、説明したようにサーバーをセットアップするのが最善です。
于 2013-01-09T00:12:57.563 に答える