0

会社の PCI DSS コンプライアンスに取り組んでいます。いくつかの調査の結果、クレジット カードのデータを保存することは、物事がはるかに複雑になるため、まったく良い考えではないことがわかりました。

トークン化ソリューションと組み合わせて安全なデータ保管庫を提供する支払いプロバイダーを見つけました。大規模なソリューションのすべてのサブモジュールを監査したくないので、クレジットカードを送信したいときにすぐに、クレジットカードを置き換える透過的なプロキシサーバーを作成し(正規表現で検索)、それをトークンに置き換えることを考えましたカードを第三者に送信する場合、プロキシ経由で送信すると、プロキシはトークンをクレジット カードに戻します。これにより、他のすべてのコードがトークンにヒットするだけなので、プロキシへのコード監査を含む安全なコーディング要件が軽減されます。

ASP.NET MVC / Webforms と WCF を使用しています。このようなことを成し遂げるための最良の方法は何ですか? 私は、この仕事をするために HttpFilter / ISAPI を書くことについて考えました。

ひょっとしたら、このような製品がすでにあるのではないでしょうか?この考えはまったく理にかなっていますか?

4

3 に答える 3

2

私はそのようなアプローチに対して警告します。

1) 考えられるすべての CC をキャッチする正規表現は、複雑すぎるか、特定の状況 (ダッシュ、スペース、ドット、CC 番号のエラー) では機能しない可能性があります。2) CC 番号のように見えるが、そうではないデータ (特にバイナリ データ) の誤検出を検出する可能性がある 3) 誤って入力された CC 番号を検出できない可能性がある 4) 間違っていると「感じる」

支払い処理業者をさらに一歩進めて、PCI 準拠のトークン化された CC ストレージ スペースを提供するだけでなく、CC の詳細をキャプチャするときにリダイレクトする CC キャプチャ ページも提供するものを見つけることをお勧めします。ユーザー。このように、アプリは何もする必要はありません

于 2012-02-13T02:20:52.147 に答える
1

Authorize.Net の Customer Information Manager (CIM) API のようなものを調べて、Authorize.Net のサーバーに保存されている支払いプロファイルを作成し、プロファイル ID (別名トークン) を使用して将来それらに対して請求できるようにすることをお勧めします。

于 2012-02-12T18:23:14.280 に答える