問題タブ [pci-compliance]

Postgresql (マスター/スレーブ) で複製を行い、複製中に PCI コンプライアンスのためにスレーブ内のデータをスクラブする簡単な (組み込み、アドオン、オープンソース、または商用) 方法はありますか? ETLツールはどうですか？瞬間的である必要はありません...最大1時間の遅れは許容されますが、もちろん速いほど良いです。

これがうまくいかない場合は、スレーブデータベースでトリガーを使用してこれを達成することはどうですか?

毎月請求できるように、顧客ユーザーがクレジット カード情報を入力できるようにしたいと考えています。

この情報をどのように保存すればよいのでしょうか。

MySQL データベース (「ユーザー」テーブル) に保存する必要がありますか、それともこの種の情報は機密性が高く、別の場所に保存する必要がありますか?

私はこれを経験したことがないので、誰かがこれを達成する方法を教えてくれたらうれしいです.

ありがとう。

私はしばらくの間これに興味があり、良い情報を見つけることができませんでした。私は以前、オンライン注文を行っていたピザ屋で働いていました。ユーザーがカード情報を送信すると、ストアで実行されます。この取引がどのように行われたかについて誰かが私にアイデアを与えることができるかどうか疑問に思いました。PCIに準拠している場合、およびプリンターへの送信方法。私はいくつかの方法を考えることができましたが、どれも実際には正しい方法ではないようです。私はこれをPHPで実行しようとしています。ありがとう。

私はこの考えを持っていますが、PCIに準拠しているかどうかはわかりません。私はPCIコンプライアンスの分野に不慣れであり、このシナリオがPCIに違反しているかどうかを知りたいと思っています。

それでは、シナリオを設定しましょう。会社AはPCIに準拠しており、支払い処理に関する機能の一部を公開するWebサービスをhttpsで提供しています。B社は準拠していませんが、彼らのWebサイトは安全です。

シナリオの手順は次のとおりです。

1. BのWebサイトは、サーバー側のコードを介してAのWebサービスに接続します。このサービスは、暗号化された認証トークンを送り返します。
2. Bは、このトークンをクレジットカード情報を受け入れるためのフォームを含むページに挿入します。
3. ユーザーはBのWebサイトにクレジットカード情報を入力します。
4. フォーム情報は、トークンとともに、ajax呼び出しを介してAのWebサービスに送信されます。
5. AのWebサービスはデータを処理し、ステータス（承認済み/拒否済みなど）を返します。

問題は、JavaScriptがユーザーのマシンからA社の準拠サーバーに直接送信されるため、PCI準拠ですか？この分野の専門家がどう思うか知りたいです。

PCI コンプライアンスに関する質問はどこに行けばいいのかわからないので、SO を試してみようと思いました。誰かが私が質問できる正しい方向に私を向けることができれば、共有してください. それも答えとしてマークしていただければ幸いです。

PCI 準拠のサイトが、ユーザー情報を格納していないが、支払いプロセス中にレンダリングされる可能性のある HTML および JavaScript スニペットを含むデータベースに接続する場合、このデータベースは PCI 準拠を維持するために認証を受ける必要がありますか? MongoDB を評価していますが、レプリカ セットで構成すると認証が提供されないことがわかりました。

クレジットカード番号をデータベースに保存するために従うべきPCIルールは何ですか？

1）これは許可されていますか？2）もしそうなら、私たちはどのような規則に従わなければなりませんか？

このサイトhttps://www.pcisecuritystandards.org/security_standards/index.phpを見てい ますが、ここでどのドキュメントを読む必要がありますか？

ショッピングカートアプリケーションを実行する場合、WebサーバーはPCIに準拠している必要がありますか？とにかくサイトで支払いを処理しないという事実のために私が尋ねる理由。主な支払い方法はPaypalを介して行われます。

使用するショッピングカートアプリケーションはまだ決まっていません。opencart、magento、zen-cartのいずれかになります。

ご意見ありがとうございます。

支払い処理を Braintree に依存している場合、PCI に準拠したまま保存できるクレジット カード情報は何ですか?

私が尋ねている理由は、単純な最適化として、顧客がすでにクレジット カードで私の店から何かを購入している場合、クレジット カードの下 4 桁とカードの種類を示すことができるためです。 BrainTree への API 呼び出し。彼らがカードを変更したり購入したりしたい場合は、電話をかけなければなりませんが、その1ページについては電話しません.

質問は、次のものを保管することは許可されていますか?

• クレジットカードの下4桁
• そしてカードの種類
• 可能であればカード所有者名

または、チェックアウトできる PCI コンプライアンスの「すべきこととすべきでないこと」のリストはどこにありますか?

現在、クライアントのサイトの 1 つで PCI コンプライアンスに合格しようとしていますが、テスト会社が私が理解できない脆弱性を指摘しています。

テスト会社からの（サイトが削除された）詳細は次のとおりです。

ここでの問題は、電子商取引アプリケーションに一般的に関連するクロスサイト スクリプティングの脆弱性です。テストの 1 つは、サイトの URL の末尾にある GET 要求に無害なスクリプトを追加しました。ユーザー (当社のスキャナー) によって入力されたこの同じスクリプトがヘッダーでサニタイズされていないサーバーによって返されたため、クロスサイト スクリプティングの脆弱性としてフラグが立てられました。この場合、スクリプトはヘッダーで返されたため、スキャナーは脆弱性にフラグを立てました。

これを複製するために端末から実行したテストは次のとおりです。

GET /?osCsid=%22%3E%3Ciframe%20src=foo%3E%3C/iframe%3E HTTP/1.0 ホスト:(削除済み)

この問題の解決策は、これらのタイプのリクエストでユーザー入力をサニタイズし、実行可能なスクリプトをトリガーする可能性のある文字がヘッダーまたはページで返されないようにすることです。

まず、テスターが行った結果を取得できません。場所を含まない 200 ヘッダーしか返されず、オブジェクトの移動ページも返されません。第二に、（iis 6で）クエリ文字列を含むヘッダーを返すのを止める方法がわかりません！最後に、なぜヘッダーのコードが重要なのですか? ブラウザーは実際には http ヘッダーからコードを実行しないのでしょうか?

クライアント用の e コマース サイトをセットアップしようとしていますが、PCI コンプライアンスが問題になっています。特定の例をオンラインで見つけるのに苦労しています...

標準のブルーホスト アカウント wssl で小さな非営利団体 (<5000 xactions/yr) のために magento ストアを運営しているとしましょう。私は支払いゲートウェイとして authorize.net を使用しています。

私は、magento がクレジット カード番号をデータベースに保存しているとは思いません。したがって、ユーザーが注文を送信すると、SSL を介して bluehost のサーバーに渡され、そこで authorize.net によって処理された後、忘れられます。

Bluehost は、すべてのシステムで PCI A および B 準拠をサポートしています... http://helpdesk.bluehost.com/index.php/kb/article/000512

PCIに関する懸念事項はありますか?

もしそうなら、何を変更できるかについての提案はありますか? 別のホスティング サービス。

ありがとう！

(追伸: ユーザーをペイパルにリダイレクトすることですべてが解決することはわかっていますが、誰もそれを望んでいません)