問題タブ [pci-compliance]

支払いフォームのデータが投稿される安全なリンクがある支払いサービスを使用します（例：https：// some-payment-gateway / securelink / sslpmt）。フォームには、支払いに必要なすべてのフィールドが含まれます。 1.顧客情報2.請求情報3.クレジットカード情報私たちのフォームは安全なサイトでもホストする必要がありますか？私たちが理解しているように、私たちのサイトが安全でない場合でも、例えば： http://our-site/orderform.html それが含まれている場合：

<form method = "post" action = "https：// some-payment-gateway / securelink / sslpmt"> ... </ form>

フォームフィールドは安全な接続を介して送信され、データが危険にさらされることはありません。私たちは本当ですか、それとも間違っていますか？

PCI準拠のサーバーを購入できないクライアントに焦点を当て、クレジットカード情報をSSL経由でゲートウェイに投稿するフォームエントリに制限するつもりです。クライアントの共有サーバーにCC情報を保存していません。私の質問は、サーバーコントロールを使用するASP.NET Webフォームについてです。フォーム情報が、runat = serverでフォーム要素を使用するだけで、クライアント共有サーバーおよび潜在的に安全でないサーバーを介して実行されるかどうかについてです。このフォームでは、プレーンなhtml入力要素を使用してCC＃、CVV＃、および有効期限を収集していますが、条件が満たされない場合にボタンの表示を制限するロジックが背後にあるため、submit要素はrunat=serverを使用します。

PayPal経由ですべてを行ったため、過去にクレジットカード情報を送信、処理、または保存したことはありません。そのため、PCIに準拠する必要はありませんでした。

ただし、新しいオンラインストアを立ち上げ、クレジットカード情報をPayPalにリダイレクトせずに処理するシームレスなチェックアウトを行うことで、PCIコンプライアンスが必要になります。

PCIコンプライアンスの取得と維持について、資格のあるセキュリティ評価会社に相談します。しかし、彼らがあなたが必要としないかもしれない家のすべてのサービスをあなたに売ろうとする前に、私は彼らに相談する前に私が見ているものについてまともな考えを得たいと思いました。

PCIコンプライアンスに関しては、ソフトウェアおよびハードウェアレベルで実行する必要があり、必要な12ポイント以上を満たす必要があることを理解しています。PCI準拠の支払いシステムを備えているMagentoProfessionalを使用し、PCI準拠のWebホスティング会社（専用サーバー）を使用します。しかし、ソフトウェアに関しては、すべてにPCI準拠が必要ですか？それとも、クレジットカード情報を送信、保存、処理するソフトウェアだけですか？

たとえば、Magentoによると、ペイメントソフトウェアはPCIに準拠していますが、Magentoプラットフォームは準拠していません。したがって、これにより、支払いソフトウェアのPCIコンプライアンスに影響を与えることなく、Magentoに変更、修正、およびカスタマイズを行うことができます。

言い換えれば、クレジットカード情報の送信、処理、保存を処理するソースコード/ソフトウェアのPCI準拠のみが必要ですか？これらの「認定セキュリティ評価会社」は、すべてのソースコードがPCI準拠かどうかをチェックする必要があるという印象を与えますが、これは不可能です。

たとえば、Magentoの場合、Magentoに変更や修正を加えても、PCIに準拠したままにすることはできますか？支払いモジュールがPCIに準拠しており、Webホスティング、サーバー、およびOSがPCIに準拠しているため、支払いモジュールが変更されていない限り、

つまり、クレジットカードを処理しないphp、javascript、mysqlのものは、準拠している必要はありませんか？もちろん、それらは同じサーバー上にあります。

PCI コンプライアンス チェックを受けており、外部ネームサーバー (すべて Windows Server 2008 R2) が Nessus プラグイン ID: 35450 (以下の言葉) にヒットしました。これは重大度の低いヒットですが、タイトルに DDoS が表示され、私はびっくりしました。

Plugin ID: 35450 Name: DNS Server Spoofed Request Amplification DDoS 概要: リモート DNS サーバーは、分散サービス拒否攻撃に使用される可能性があります。プラグイン出力: DNS クエリの長​​さは 17 バイトで、回答の長さは 449 バイトです。

私はこれを無駄にググった。何か案があれば回答お願いします。

私はテストする方法を見つけました（以下）が、軽減策のステップでは運がありません...

Linux の場合: dig . NS@
[例：掘る。NS @192.168.1.1]

または Web: http://isc1.sans.org/dnstest.html

カード会員データの SQL データベース/ファイル システムなどのシステムをスキャンするために利用できる (オープン ソース) ツールはどれですか? これまでのところ、PANBuster、7sec、および PANscan を発見しましたが、他にもあるのではないかと考えています (できればオープン ソース)。

次の問題により、今四半期は PCI-DSS 準拠を満たすことが困難です。

ブラウザに次のように入力すると...

...応答し、その結果、確認できない何らかの理由で、ブラウザのアドレス バーの URL が次のように変更されます。

元の URL でエスケープされた文字の一部が、エスケープされていない文字に置き換えられていることがわかります。

その理由は、FireFox は、サーバーがどのように応答したとしても、サーバーが応答したときに、アドレス バーの URL を読みやすくするために自動的に再フォーマットするためです。私はそれについて私ができることは何もないと彼らに言いました。ただし、公平を期すために、次の URL を試してみると...

...Google サーバーが応答しても、ブラウザは URL を変更せず、同じままです。

そして、彼らにはポイントがあります。

一体何が起こっているのでしょうか？問題を絞り込みました。空のテキスト ファイルを要求するだけで、その後に意味のないクエリを追加すると...

...見よ、ローカルサーバーが応答すると書き換えられる：

http://localhost/http.mygarble.com/hello.txt?displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22

私はこれを Fiddler で実行しましたが、不都合なことは何も見られず、書き換えエンジンをオフにしました。私はApacheを実行しています。

さらに混乱を招くのは、ブラウザによって応答が異なることです。タイピング...

...Chrome への変換:

http://localhost/http.mygarble.com/hello.txt?displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22

IE では、URL はまったく同じままです。Opera では、アドレス バーをクリックしない限り、クエリ文字列は削除されます。これは、ブラウザーが応答時にアドレス バーの URL を読みやすくするために自動的に変更するという私の信念を裏付けるものです。Safari は、IE と同様に、URL だけを残します。

手がかりを得るために、Google の応答を確認します。応答時に URL に干渉しないようにブラウザに指示する HTTP ディレクティブはありますか。

どんな助けでも非常に感謝しています！

敬具、

ジェームズ

PCI DSSに準拠することで、開発者はPCのローカル管理者権限を持つことができますか？

私は iMag PCI カード リーダーとそれに付随する SDK を持っています。そうは言っても、私はかなり初心者の iOS 開発者なので、SDK は完全にはわかりません。

私のプロジェクトの目標はこれです。PCI カード リーダーが iPad に接続されている - アプリには、名前フィールドを含む、データ入力用の複数のテキスト フィールドがあります。ログインとログアウトのプロセスを高速化し、セキュリティを強化するために (私はデータ センターで働いています)、カード リーダーに政府発行の ID (州の免許証) を読み取らせ、名前だけを保存させたいと考えていました。テキストフィールドで。これにより、データベース内の情報が正確であり、「あなたがあなたであると言う人である」ことが保証されます. 自動タイムスタンプもプラスです。

その後、ユーザーは「訪問の理由」などの他のテキスト フィールドを手動で入力します。ログイン時刻は、データベースへの送信時に保存されます。ログアウトするには、ユーザーはアプリ内で別のビューを選択し、ID をスワイプするだけで退出できます。

警告 - オンプレミスでまったく同じ名前の人が同時に問題を引き起こす可能性がありますが、実際にはそれが起こっているとは思いません:-)

-- 過去にこのようなプロジェクトを完了した人はいますか? 全体として、アプリには約 4 つのビューと、単純な写真/テキスト/および少数のテキスト入力フォームが必要です。

私が理解しようとしているのは、テキストフィールドに入力されたデータを保存し、それをデータベースにオフロードし、ログアウトする方法が、アプリがユーザーの名前を取得する方法に直接影響するかどうかです。ライセンス。それとも、それらは開発の観点から完全に独立しており、独立して処理できますか?

ヘルプやアドバイスをいただければ幸いです。フォーラムを検索したところ、PCI カード リーダーはかなり断片化された市場のようです。そのため、多くの人が iMag や、iMag と一緒に受け取った SDK に慣れているかどうかはわかりません。

ありがとう、

チャーリー

私はauthorize.net、特にCIMおよびDPMソリューションを見てきました。問題は、DPMでCIMプロファイルを参照するだけでは不十分なことです。authorize.netを使用しない人のために、基本的にauthorize.netはユーザーの保存されたクレジットカード（サイト上）を管理しますが、保存されたクレジットカードのIDを使用してDPMを介して支払いを行うことはできません。サーバーからその情報を取得し、別のリクエストでサーバーに返します。この行為により、私はPCIに準拠する必要があります（クレジットカード番号を処理したため）。

私の質問は、authorize.netに似たものを使用できるが、私のサイトがクレジットカード/配送情報に決して触れないようにする別のプロバイダーはありますか？

Liferayを使用してカスタマーポータルを構築しています。財務情報を収集するには、いくつかのポートレットが必要です。ポータルのホスト環境はPCIに準拠していません（http://www.pcicomplianceguide.org/pcifaqs.php）。財務情報を処理する際のPCIコンプライアンスは要件であるため、これらのポートレットをPCIに準拠させるメカニズムを見つける必要があります。2つの基本的な代替案を検討しています。1。ポータルのホスト環境をPCI準拠にする2.PCI準拠のホスト環境を使用してポータルのホスト環境の外部でPCI準拠を必要とする機能をホストする（これは最も苦痛の少ないルートのようです）

関連する質問があります：1。私たちが検討していないより良い代替案はありますか2.上記のオプション2に関して、私はそれを実装するための推奨される方法に関する参照を見つけることができませんでした。誰かが技術的な解決策を勧めたり、私にそれを紹介したりできますか？

ありがとう、ロドリゴシルベイラ