問題タブ [pci-compliance]

アプリケーションの PCI コンプライアンスをテストしたところ、次のようなエラーが発生しました。

そして、これに対する解決策は次のように与えられます

IIS 6.0 を使用して Windows Server 2003 に実装する方法を教えてください。

カード所有者の情報を収集し、MySQL データベースに保存する新しいソフトウェア (実際には単一の php スクリプト) を開発しています。もちろん、セキュリティに関してはあらゆる予防策を講じています (ファイアウォール、アンチウイルス、SELinux、マシンへのアクセス制限) が、公開する前に次にどのような手順を踏む必要があるかを理解しようとしています.

クライアントはレベル 4 の加盟店 (実際の取引はなく、カード所有者情報の保管のみ) であるため、外に出て見つける必要があるスキャンは何ですか?

明らかに、サーバー/IP をスキャンする必要がありますが、データを収集する php スクリプトはどうでしょうか?

別のドメインからイメージを (安全に) 提供するのは PCI に準拠していますか? PCI DSS 2.0 PDF を検索しましたが、参照が見つかりませんでした。

PCIに準拠しているときに、安全でないページ（http）で安全な（https）ライトボックスポップアップログインを使用することは可能ですか？もしそうなら、それはページに適切なセキュリティアイコン/ロックを表示しますか？

私の会社には、クレジット カードを保存/処理する Web サイト/サービスがあり、PCI に準拠しています (サイト A)。また、処理のためにクレジット カード データをそのサイトに送信する必要があるストアフロントを持つ Web サイトもあります (サイト B)。誰かがサイト B で何かを注文し、請求情報を入力した場合、その情報をサイト A に送信して PCI 準拠を維持するにはどうすればよいですか?

支払いの詳細を入力しているときは、サイト B の安全なページにいることは明らかです。

サイト B のセキュリティで保護されたページからサイト A のセキュリティで保護されたページにフォームを投稿することはできますか? この取引中にクレジットカードを暗号化する必要がありますか? 明らかに、何らかの暗号化された状態で保存されますが、送信トランザクション中に暗号化する必要がありますか?

秘密鍵のように、Web サイト間である種のハンドシェイクを設定する必要がありますか? もしそうなら、そのキー/ハンドシェイクを作成する安全な方法は何ですか?

私たちは、具体的な答えを見つけようとして PCI コンプライアンスについて読んだり読んだりしてきましたが、それは主観的であり、私たちが何をすべきかを曖昧にしているようです。

良い一日、

この質問が SO または SF に適しているかどうかはわかりません...

PCI コンプライアンスでは、キーを毎年ローテーションする必要があります。私が遭遇し続ける「キーのローテーション」の定義は、データを復号化し、新しいキーで再暗号化することです。本当に？誰もが毎年、暗号化されたデータをすべて復号化/暗号化していますか?

現在、3 台のサーバーにまたがる 16 のデータベースがあり、各データベースに複数のテーブルがあります。これは今後も増え続けるでしょう。これを手動で行うと、間違いが発生する可能性が非常に高くなり、データが読み取れなくなります。はい、これを行うために何かを書くことはできます...しかし、これは本当にみんながしていることですか? 手頃な価格の (主観的なものですが) サードパーティのツールをお勧めできますか?

階層の上位にあるキーを「変更」することについて、いくつかの提案を見てきました。私たちは、データを暗号化する対称キーを暗号化する証明書を暗号化するデータベース マスター キーのよく推奨される階層を使用します。

まず、これは「キーのローテーション」の定義を満たしていないようです。第二に、DMK または Cert を変更しても、おそらく悪者が盗んだりクラックしたりしたのと同じ対称キーでデータが復号化されるのを防ぐことはできません。

ありがとう！

Apache 2.2.17 を実行している Fedora 14 サーバーを取得して、McAfee ScanAlert による PCI-DSS コンプライアンス スキャンに合格させようとしています。ssl.conf に設定されているデフォルトの SSLCipherSuite および SSLProtocol ディレクティブを使用した最初の試み...

弱い暗号が有効になっていることを理由に失敗しました。ssllabs および serverniff ツールを使用したスキャンにより、40 ビットおよび 56 ビットのキーが実際に利用可能であることが明らかになりました。

私はその後...に変更しました

さまざまなサイトで報告されている次の文字列をすべて試して、さまざまなベンダーからの PCI スキャンに合格しました...

更新後に apache を再起動すると、apachectl configtest で構文が問題ないと表示されます。後続の ScanAlert スキャンはすべて失敗し、他のスキャン ツールは利用可能な 40 ビットおよび 56 ビットの暗号を引き続き表示します。SSLProtocol と SSLCipherSuite を httpd.conf の VirtualHost に直接追加しようとしましたが、効果がありませんでした。

実際には、どこかでこれらの設定が上書きされているように感じますが、ssl.conf 以外にこれらの値を設定する場所は見つかりません。

誰かが最近の PCI スキャンに合格した既知の優れた SSLCipherSuite を提供できれば、私の問題を追跡するのに大いに役立ちます。

ありがとう。

スタンドアロンの Play Framework サーバーを使用して、https の弱いおよび中程度の暗号スイートを無効にする方法はありますか?

それについて何も見つかりませんでした。

私たちのログには、CC情報を使用してアプリ内のULRの一部にヒットした人々によるクレジットカード番号が表示されています（なぜ彼らがこれを行っているのかわかりません）。（PCIを考慮して）この情報をサニタイズし、ディスクに保持することすらしたくありません。

したがって、ログファイルに到達する前にログエントリをサニタイズできるようにしたいと思います。私はTomcatバルブ（アクセスログバルブ）を見てきました。これは行く方法ですか？

ここの誰かがauthorize.netの「AdvancedIntegrationMethod」APIを使用したことがあるかどうか疑問に思いました。

私は彼らのサイトでFAQを精査しましたが、現時点では簡単な答えを見つけることも、それらに到達することもできないようです。

APIがSSLを必要とすることは知っていますが（明らかに）、クレジットカード番号を保存していない場合、TOS契約にはPCI準拠または何らかの種類の認証が必要ですか？また、誰かがたまたま知っている場合、（もちろん明示的な販売者の許可を得て）販売者の資格情報を保存するアプリにこれを使用することに反対するTOSに何かありますか？

明確にするために、その最後の部分では、複数のマーチャント（同じサーバー）のマーチャントIDとトランザクションキーを格納するSaSアプリケーションについて話しています。