問題タブ [pci-compliance]

私は、PCI 標準の採用を拒否するクライアントと討論してきました。コミュニティに確認して、自分の反対意見が正しいかどうかを確認したい.

質問: 共有ホスティング サーバーにクレジット カード情報を保存し、かつ PCI に準拠する方法はありますか?

セットアップは次のとおりです。

1) チェックアウト プロセス全体とクライアント サイトの管理セクションに SSL が実装されています。

2) クレジット カード情報はサーバー (共有ホスティング プラン) の MYSQL データベースに保存されています。暗号化されています。

3) クライアントは、パスワードで保護された管理パネルにアクセスし、ウェブサイトからクレジット カードを印刷します。

4) クライアントは、端末を介して手動でクレジット カード情報を実行し、このクレジット カード情報をサーバーから削除します。

PCIコンプライアンスに問題があります。基本的に、フィールドが存在https://するすべてのページに追加してほしいとのことです。passwordこれはちょっと奇妙です。

私のフォームはindex.php次のようになります。

https：に投稿しようとしまし<form method=post action="https://test.com/login.php" id="login">たが、テストは失敗します。

この問題をどのように修正すればよいですか？

私はindex.phpログインフォームを持っています：

フォームが安全な回線で確実に処理されるようにするにはどうすればよいですか?

追加する必要がありhttps://ますか?

何か案は？

ありがとう。

PCI DSS2 ドキュメントから: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

3.4.1.b 暗号化キーが安全に保管されていることを確認します (たとえば、強力なアクセス制御で適切に保護されたリムーバブル メディアに保管されているなど)。

私たちは、クレジット カード データを 24 時間ごとに処理するバッチ処理フルフィルメント ハウスを使用しています。これにより、停電などが発生した場合、最悪の場合でも 1 週間、顧客のクレジット カード データを保存する必要があります。

この間、保存された CC 情報は可能な限り安全に保存されます。バッチ プロセスを実行するために毎晩接続されているサム ドライブにキーが保存され、データが暗号化されて保存されるセットアップを見てきましたが、これはバッチ プロセスを処理するための信じられないほど薄っぺらで手動の方法です。確かに、キーを保存するためのより良い方法がありますが、マシンにアクセスしたり、マシンにインストールされているソフトウェアを悪用したりするハッカーからキーを保護します。

この手動プロセスなしで鍵を保管する最良の方法は何ですか?

私はショッピング カートを開発しています。可能であれば、以下を保存したいと考えています。

名前 請求先住所 郵便番号

MySQL データベースに。これは、リピーターがチェックアウトのたびに請求情報を再入力する必要がないため、便利です。クレジットカードのデータは一切保存しません。

これを行うと、PCI 規格に違反することになりますか?

久々の閲覧、初投稿です。私はphpが初めてで、誰かが助けてくれることを願っています。この Web サイトの連絡フォーム、 Tutorial Stag Contact Form Php Ajax Jqueryを使用して、pci コンプライアンスの問題があります。準拠するために何をする必要があるか知りたいのですが、コントロール スキャンを使用してコードを実行したところ、次のような結果が返されました。

多くのグーグルを行っているときに、問題を修正するために何を追加する必要があるのか​​ わかりません。ウェブサイトのコードは、まさに私が使用したものです。これについて私を助けてもらえますか？Web サイトにアクセスすると、完全なコードを確認して私を助けることができます。

私は、cURL が主にリモート サイトからデータを取得するためのものであることを知っています。POST データを使用するローカル URL からデータを取得するために cURL を使用する必要がありますか?

たとえば、領収書を表示するページがあります。私はこれを使用してhtmlメールを送信し、顧客がメールクライアントで領収書が正しく表示されない場合にブラウザーで領収書を表示できるようにします。

POST カード所有者データが存在する場合、名、姓、住所、都市、都道府県、郵便番号、電話番号、電子メール、支払い方法が領収書に表示されます。

file_get_contents() 関数を使用してその Web ページを取得し、電子メールを送信します。問題: その際に POST データが存在しないため、領収書メールを受け取っているのがあなたの請求情報ではありません。領収書が実際にあなたのものであることを証明する方法はありません。

私は PCI 標準に準拠しようとしているので、カード所有者のデータをセッションまたはデータベース テーブルに保存しないようにしています。

PCI コンプライアンスに合格する必要があるサイトがあります。

Magento 1.5.1 (Magento は PHP ベースのシステム) を使用するサイトで、PCI コンプライアンス エラーは予測可能な Cookie セッション ID です。

これは、「フロントエンド」という名前の Magento の Cookie をランダムな UUID に変更したいという意味だと思います。これは、コアを改造または拡張しなくても実行できると思いますが、これを実行するための設定が見つかりません。

考え？

脆弱性の説明は次のとおりです。

リモート Web アプリケーションは、予測可能な Cookie ベースのセッション ID を使用しています。理想的には、セッション ID は、攻撃者が推測できないランダムに生成された数字です。セッション ID が予測可能な場合、攻撃者はアクティブな被害者のセッションをハイジャックする可能性があります。

デスクトップ上で排他的に実行される支払い処理クライアントがあります。オペレーターが支払いデータを入力してボタンをクリックすると、私のアプリは安全なチャネルを介してデータを支払いゲートウェイに送信します。私のアプリは、販売者のゲートウェイログイン情報を暗号化して保存しますが、機密性の高い支払いデータを保存することはありません。

私は範囲内ですか？私がそうだとしたら、まったく同じ機能を同じように実行するのに、なぜWebブラウザが範囲外になるのでしょうか。

多数のユーザーがいる Web サイトがあり、PCI コンプライアンスの問題により、名前を暗号化して保存する必要があります (blowfish を使用しています)。ここで、「クエリ内」の方法で復号化できない、管理パネルの名前によるワイルドカード検索機能が必要です。

この問題を解決するための一般的な解決策は何ですか?