5

PayPal経由ですべてを行ったため、過去にクレジットカード情報を送信、処理、または保存したことはありません。そのため、PCIに準拠する必要はありませんでした。

ただし、新しいオンラインストアを立ち上げ、クレジットカード情報をPayPalにリダイレクトせずに処理するシームレスなチェックアウトを行うことで、PCIコンプライアンスが必要になります。

PCIコンプライアンスの取得と維持について、資格のあるセキュリティ評価会社に相談します。しかし、彼らがあなたが必要としないかもしれない家のすべてのサービスをあなたに売ろうとする前に、私は彼らに相談する前に私が見ているものについてまともな考えを得たいと思いました。

PCIコンプライアンスに関しては、ソフトウェアおよびハードウェアレベルで実行する必要があり、必要な12ポイント以上を満たす必要があることを理解しています。PCI準拠の支払いシステムを備えているMagentoProfessionalを使用し、PCI準拠のWebホスティング会社(専用サーバー)を使用します。しかし、ソフトウェアに関しては、すべてにPCI準拠が必要ですか?それとも、クレジットカード情報を送信、保存、処理するソフトウェアだけですか?

たとえば、Magentoによると、ペイメントソフトウェアはPCIに準拠していますが、Magentoプラットフォームは準拠していません。したがって、これにより、支払いソフトウェアのPCIコンプライアンスに影響を与えることなく、Magentoに変更、修正、およびカスタマイズを行うことができます。

言い換えれば、クレジットカード情報の送信、処理、保存を処理するソースコード/ソフトウェアのPCI準拠のみが必要ですか?これらの「認定セキュリティ評価会社」は、すべてのソースコードがPCI準拠かどうかをチェックする必要があるという印象を与えますが、これは不可能です。

たとえば、Magentoの場合、Magentoに変更や修正を加えても、PCIに準拠したままにすることはできますか?支払いモジュールがPCIに準拠しており、Webホスティング、サーバー、およびOSがPCIに準拠しているため、支払いモジュールが変更されていない限り、

つまり、クレジットカードを処理しないphp、javascript、mysqlのものは、準拠している必要はありませんか?もちろん、それらは同じサーバー上にあります。

4

2 に答える 2

4

基本的な答えはそれが依存するということです。一般に、PCIに準拠する必要があるのは、PCIの機密データおよび保護されたデータを処理する(または処理できる)ソースコードのみです。ただし、これは、コードの他の領域が安全な領域にアクセスできる場合は、そこでもセキュリティが必要であることを意味します。たとえば、アプリケーションの別の領域がSQLインジェクションに対して脆弱である場合、クレジットカードシステムが危険にさらされる可能性があります。そのため、一部の人々はすべてのソフトウェアのPCIコンプライアンスに傾倒します。データの安全性を損なうために、不十分に記述されたソフトウェアが悪用される可能性があるという保証が必要です。

検査をしている人には常に解釈の余地があるので、それは状況次第だと思います。ただし、良いニュースは、すべての標準の中で、PCIは、実行する必要があることと実行できないことについて、最も直接的で具体的であるように思われることです。PCIが直接言うことについての詳細は次のとおりです。

https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf

ここでの基本的な問題は、サイトがどこでも悪用されないようにすることです。アプリケーション領域(クレジットカードデータと通常のWebサイト)の間に十分な「ファイアウォール」を構築すると、一部のコードをスキャンするだけでよいことを示すのに大いに役立ちます。また、上記のドキュメントに記載されているように、PCIに準拠するためにソースコードレビューを行う必要はありません。ただし、アプリケーションを広範囲にテストして、一般的な脆弱性から安全であることを確認する必要があります。

于 2011-05-31T23:44:20.717 に答える
1

PCIコンプライアンスの法的な詳細について話すことはできませんが、私がシステムの監査人である場合、認定されていないコードが認定されたコードを実行するのと同じユーザーIDとして実行されると、非常に大声でしゃがみます。

また、システム上にあるsetuid / setgid実行可能ファイル、PCI準拠のソフトウェアに影響を与える可能性のある昇格として実行されるもの、rootまたは昇格されたものと一緒に実行されるものをかなり詳しく調べます。おそらく、 AppArmorSElinuxTOMOYOなどの 必須アクセス制御ツールが必要です。 、またはSMACK、および信頼できない実行ドメインによるサーバーのPCI準拠部分の改ざんを防ぐ適切な構成。capabilities(7)

于 2011-05-31T23:45:52.817 に答える