問題タブ [pci-compliance]

非常に特殊なニーズを持つクライアント向けに、POS アプリケーションを作成しています。クライアントは小売店であるため、クレジット カードを処理するとき、物理的なカードが存在し、それをスワイプできます。現在の方法では、チェックアウトの最後にレジ係に合計を提示し、レジ係は合計をクレジットカード端末に入力し (コンピュータには接続されていません)、カードをスワイプします。支払いが処理されると、レジ係は「クレジットカードで支払いました」を押し、領収書を印刷します。

問題は、合計を手動で入力すると時間がかかり、エラーが発生しやすいことです。プログラムで金額をクレジット カード端末に送信し、トランザクションが処理されたときにメッセージを受け取るようにしたいと考えています。PCI の外部にとどまりたいので、カード所有者情報 (カード番号など) には触れたくありません。私がしたいのは、金額を送信して、「承認済み」または「拒否済み」を返すことだけです。これはよくあることだと思うかもしれませんが、情報を見つけることができなかったようです。（たとえば、authorize.netのカードプレゼントAPIでは、カード番号を収集して送信する必要があります。カード番号を収集して送信したくない。金額を送信し、他の人にカード番号を収集して送信してもらい、手続きが完了しましたらお知らせください。）

誰かがこれに対する解決策を持っていますか? Verifone や Ingenico のハードウェアを使ったことのある人はいますか? USB経由で接続された物理端末の番号を送信しているか、仮想ソフトウェア端末に送信しているかは気にしません。私自身が端末になりたくないだけなので、カードデータのチェーンのどこにもいません。

基本的に私はクレジット カードを処理するサイトに取り組んでいます。しかし、取引/請求が行われると、クレジットカードに関する情報をデータベースに保存したいと思います。

今のところ、最初の 4 つと最後の 4 つの数字と有効期限を保存することを考えています。ただし、プラン テキストには保存しません。独自の暗号化方法を作成しました。

それは十分に安全ですか？

それで、オンラインで多くの調査を行った後、誰かが私を助けてくれることがわかっている1つの場所に来ました！

PayPal のクラシック API を介してクレジット カードでの支払いを受け入れるサイトがあります。具体的には、定期的な支払いにクレジット カードを使用できるようになります。PCI に準拠する必要があることは承知しており、今日 PayPal と話したところ、(書面で) 次のように言われました。

「あなたのアカウントが過去 3 週間で 20 件以上 (または 1 年で 100 件以上) のトランザクションを処理すると、Trustwave に登録して PCI 準拠になることができます。」

そして私は

「これらのレベルに達する前にコンプライアンスを証明する必要はありません」

それが何かはわかりませんが、何かが私には合いません。主に、最初からPCIに準拠する必要があると思います。彼らが言っているのは、それまでは何も証明する必要はないが、PCI に準拠する必要があるということだと思います。

誰かがこれについて私に少しのガイダンスを与えることができれば、それは素晴らしいことです. ここで、私たちの状況についてもう少し詳しく説明します。

1. 私たちが運営するシステムには、顧客カードの詳細は一切保存されません。
2. 詳細は、通常の古い HTML POST フォームによって PayPal API に送信されます。
3. 定期的な支払いでは、Paypal によるホストされたソリューションが許可されていないため、独自のフォームを介して行う必要があります。

ここで何かが欠けていると確信していますが、ここの誰かが経験を積んだり、正しい方向に向けることができることを知っておいてください!

乾杯！

私は PCI コンプライアンス チェックリストを調べており、ある PHP Web サイトの Apache で HTTP TRACK および TRACE メソッドを無効にする必要があります。どうすればこれを確実に行うことができますか?

TrustWave で Web サイトをスキャンして PCI コンプライアンスを確認したところ、このエラーが見つかりました

私のWebサイトは、Apache Server 2.4.4（XAMPP上）のWindows Server 2008 R2 Enterpriseで実行されています

次のリンクは、この問題を修正するためのパッチですが、編集するファイルの場所が見つかりません

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2249で提案されているように

誰でも私を案内してもらえますか？

よろしくお願いします ！

単純な何かが欠けているに違いありませんが、サイトが PCI スキャンに失敗する理由を一生理解できません。具体的には、「IIS NTLM 認証スキームを介したアカウント ブルート フォースの可能性」で失敗しています。

私はウェブを検索し、平らになりました。私が見つけた 1 つのことはここにありました: https://sites.google.com/site/pcidssadventures/remediation/86693

これは、ローカル ポリシーの「次回のパスワード変更時に LAN Manager ハッシュ値を保存しない」が「有効」に設定されていることを確認するためです。それはすでにありました。

インターフェイスと apphostconfig の両方を介して、WindowsAuthentication が無効であることを確認しましたが、スキャンは引き続き失敗し、正当な理由で明らかに失敗します。NTLM エラー コードが返されます。

私の唯一の仮定は、NTLM がオフになっていても、どういうわけか IIS が NTLM の試行に応答するということです。これを防ぐ方法を知っている人はいますか？誰？

前もって感謝します。

標準の Amazon EC2 Cloud サーバーは PCI に準拠していますか? インスタンスを起動したばかりですが、マーチャント アカウント所有者向けの PCI コンプライアンス基準を満たしているかどうか疑問に思っています。