問題タブ [pci-compliance]

月額料金でサブスクリプションを購入するユーザーのクレジット カード情報を格納するアプリケーションを Windows Azure でホストしたいと考えています。カードデータをできるだけ安全に保存する必要があるだけです（暗号化、ソルト、データベースパスワードの頻繁な更新、HTTPS の使用など）。

この種の情報を保存できるようにするには、PCI に準拠する必要があると思います。私の質問は、Azure でこれを達成できるかどうかです。私のオプションは何ですか？Azure 上のアプリケーションでクレジット カードの支払いを処理できますか?

IIS を使用する Coldfusion 9.0.2 を搭載した 64 ビット サーバーを使用しています。PCI コンプライアンスの最新のサーバー スキャンでは、「緊急」として次のエラーが返されました。

Unify eWave ServletExec 3.0C UploadServlet 非特権ファイル アップロード

• これはコールドフュージョンの一部ですか? または IIs。
• 削除しても安全ですか？
• どうすれば削除できますか?

申し訳ありませんが、これはこれを投稿するのに適切なフォーラムではありませんが、ここでアイデアが不足しています。最近、新しい専用サーバー (Windows Web Server 2008 R2 を実行) を購入しました。お客様の 1 人が PCI コンプライアンスを取得しようとしています。サーバーは最新で、不要なポートと抜け穴はすべて閉じています。しかし、サイトはテストの 1 つに失敗し続けています。失敗メッセージを貼り付けます。

タイトル: 脆弱な Web プログラム (シンガポール) 影響: リモートの攻撃者が任意のコマンドを実行したり、ファイルを作成または上書きしたり、Web サーバー上のファイルやディレクトリを表示したりする可能性があります。

送信データ:

データを受信しました：

シンガポールの画像ギャラリー アプリケーションは、複数の脆弱性の影響を受けます。シンガポール 0.10 以前は、次の脆弱性の影響を受けます。 index.php のディレクトリ トラバーサルにより、暗号化されたパスワードを含む users.csv.php ファイルなど、アプリケーションのディレクトリ内の機密ファイルへの不正な読み取りアクセスが許可される index.php のクロスサイト スクリプティング機能インストール パスを取得するには シンガポール 0.9.10 以前は、これらの脆弱性の影響を受けます。アプリケーションのディレクトリ内の機密ファイル (users.csv など) への不正な読み取りアクセスを許可する、thumb.php 内のディレクトリ トラバーサル。

危険因子: 高/ CVSS2 基本スコア: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2004-1408 BID: 11990 18518 追加の CVE: CVE -2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195

これは何の話だかさっぱりわかりません。この「シンガポール」アプリケーションは使用せず、サーバー上で php をまったく実行しません。

誰かがこれについて何か提案をしてください。アドバイスがあれば、モンスターに感謝します。

ありがとう。

プロジェクトの内部脆弱性スキャン レポートを作成するにはどうすればよいですか?
このレポートを生成するには、ツールを使用する必要がありますか? これに関連してウェブで検索しましたが、理解できませんでした。

私は現在、支払いゲートウェイを必要とする中小企業向けのWebサイトを構築しています（おそらくAuthorize.Netを使用します）。問題は、多くの注文で、送料と手数料を計算するための特別なニーズがあることです。これには、顧客に注文の請求が即座に行われるのではなく、顧客に請求する必要があります。

私の質問は、Authorize.Netまたは関連サービスで、クレジットカードのデータを処理せずに保存するだけで、後で処理する請求額の合計を入力することはできますか？

これについてのご意見ありがとうございます。すべてのアドバイスを歓迎します。

ログ報告ツールはたくさんありますが、選ぶのに困っています。監査ログを監視するためのツールを教えてもらえますか?

私のクライアントは、goaddy 共有ホスティングで e コマース ストアを運営しています。彼らは pci コンプライアンスに合格しようとしていますが、唯一の問題は、デフォルトの apache アイコン フォルダーのインデックス作成を許可することです。このフォルダは私の Web ルートにはありません。だから私はそれにアクセスできません。htaccess の書き換えを試みましたが、うまくいきません。他の解決策を知っている人はいますか？

pcipolicyからPCI準拠のセキュリティポリシーと手順のドキュメントを購入しました。彼らの書面による方針は大丈夫ですが、文書は手続きについて私を助けません。彼らはhttps://www.pcisecuritystandards.org/で同じ提案をするだけです

私の質問は、誰かがそれらを購入したことがあり、それらはどれくらい良いですか？pcipolicyportalからドキュメントを購入することに興味がありますが、提案しますか？

ペイパル決済ゲートウェイを使用して決済メカニズムを実装したかったのですが、以下の要件があります。

1. 定期的な請求[毎月]。
2. システムはカードを受け入れる必要があります[ペイパル以外のユーザーは定期的な支払いを行うことができるはずです]

私はサンプルで与えられた様々なアプローチを経験しました。

1. DoDirect支払い：ソリューションはPCIに準拠している必要があります[何を処理すべきか本当にわかりません。]
2. エクスプレスチェックアウト：これは私の2番目の要件を満たしていません。つまり、購入者はPaypalアカウントを持っている必要があります[ここで間違っている場合は訂正してください]

「WebsitePaymentsProHostedSolution」のような他の多くのソリューションにも出くわします。別の発見は次のとおりです。直接支払いで定期的な支払いを使用すると、追加料金が発生する可能性があります。

上記の要件を満たすためのより簡単なアプローチ、つまりクレジットカードのサポート、定期的な支払い、PCIコンプライアンスに関連する問題がないことを誰かが私に提案できますか？

ありがとう、

PCI ガイドラインに準拠する必要があるサイトの世話をしています。しばらく前に多くの作業を行った後、最終的に PCI セキュリティ チェックに合格しました。最近また失敗し始めました。これは、セキュリティ チェックに新しいテストが追加されたためだと思われます。

現在、チェックが不平を言っているのは、サイトへのコード インジェクションの可能性です。これは、その内容の 1 つの例です。

Firebug を使用してソース コードを調べると、私のコードに対してこれが行われていることがわかります。

Ok。それ自体は害はありませんが、彼らが何をしようとしているのかがわかります。

彼らが提供する他の非常に類似した例がありますが、それらはすべて単独で同じ種類の線です.

この種のものから実際にどのように保護できますか？そして、それは有害ですか？

前もって感謝します。