問題タブ [pci-compliance]

詳細な ClickOnce ログは、少なくともその内容 (要件 10.3) に関する限り、PCI DSS 2.0要件 10.2.7 に準拠していると見なされますか?

(10.2) 次のイベントを再構築するために、すべてのシステム コンポーネントに自動化された監査証跡を実装します。 (10.2.7) システム レベル オブジェクトの作成と削除

このようなロギングのサンプルを分析すると、特に役立ちます。

入力されているクレジットカードの種類をユーザーに尋ねるか、正規表現を使用してカードの種類を自動検出しようとする方がよいでしょうか。

一部のオンライン販売者は、ドロップダウンメニューでクレジットカードの種類（Visa、Mastercard、Amexなど）を明示的に要求します。AmazonやGitHubを含む他の人は、明示的に尋ねることは決してなく、代わりにカードのプロパティに依存してカード番号を決定します。

カードタイプの自動検出に依存する場合の問題の1つは、クレジットカードの正規表現パターンを時間の経過とともに更新する必要があるように見えることです。したがって、これらの正規表現パターンは、正確さを維持し、パターンの穴を防ぐために、絶えず更新する必要がある場合があります。

ユーザーにカードの種類を明示的に尋ねるのか、カードの種類を自動検出しようとするのか、どちらが良いですか？他に考慮事項はありますか？

PCI コンプライアンスは、カードの詳細の保存だけでなく、転送にも影響することを理解しています。たとえば、単純にカード番号を収集して https 経由で送信したい場合、PCI 準拠の手順を実行する必要がありますか?

PCI 準拠で失敗する PHP サイトがあり、唯一のエラーは次のとおりです。

Microsoft ASP.NET ValidateRequest フィルターがクロスサイト スクリプティングの脆弱性を回避

これは IIS 上の PHP サイトです。このサイトを PCI テストに合格させるにはどうすればよいですか。

ASP.netページを使用してデータベース内のパスワードを比較しようとすると、このエラーが発生します。

この実装は、WindowsプラットフォームのFIPS検証済み暗号化アルゴリズムの一部ではありません。

コードは次のようになります。

最近、セキュリティホールなどに準拠するために、サーバーを更新/ロックダウンする必要がありました。ただし、そうすると、同じサーバーでホストしているWebサイトの1つでこのエラーが発生しました。これらすべてのセキュリティ設定の前は、Webサイトは問題なく機能していました。

奇妙な部分は、VS 2010内でWebサイトをローカル（デバッグモード）で実行できることです。これは問題なく実行されます。エラーはまったくありません。

これらすべてのセキュリティ設定を不満として追加する前と同じように、Webサイトを再び機能させるために、これを回避する方法について誰かがヒントを持っていますか？他のWebサイトが準拠しなくなるため、無効にすることはできません。

私はすでにこれらのページで提案を試しました：http： //blogs.msdn.com/b/brijs/archive/2010/08/10/issue-getting-this-implementation-is-not-part-of-the -windows-platform-fips-validated-cryptographic-algorithms-exception-while-building-outlook-vsto-add-in-in-vs-2010.aspx

http://social.msdn.microsoft.com/Forums/en/clr/thread/7a62c936-b3cc-4493-a3cd-cc5fd18b6b2a

http://support.microsoft.com/kb/935434

http://blogs.iis.net/webtopics/archive/2009/07/20/parser-error-message-this-implementation-is-not-part-of-the-windows-platform-fips-validated-cryptographic-アルゴリズム-when-net-page-has-debug-true.aspx

http://blog.aggregatedintelligence.com/2007/10/fips-validated-cryptographic-algorithms.html

ありがとう。

このコードも使用してみました

エラーは次のとおりです。

文字列"S51998Dg5"からタイプ'Integer'への変換は無効です。

そして、そのエラーは次の行にあります：Dim data（p）As Byte

PCIコンプライアンステストの一環として、トランスポートレベルのセキュリティと証明書を使用して保護されたWCFnet.tcpエンドポイントがSSLv2接続を許可していることを発見しました。私たちのサービスは自己ホスト型であるため、IISと連携してそれらをホストしているわけではないため、IISベースのソリューションは機能しないと思います。

多くのMSDNページを調べた後、使用するSSLのバージョンをWCF接続に指示する方法をまだ見つけていません。

PCI準拠のために、接続はSSLv3のみを受け入れ、SSLv2は受け入れないようにする必要があります。

誰かがWCF接続（ホストとクライアントの両方）で強制SSLバージョンを設定する方法を知っていますか、またはWindowsマシン全体でこれを行う方法についてのボーダーアプローチはありますか？

このサイト ( https://www.martialartstechnologies.com/register?tournamentID=82 )に似た、支払いを受けるクライアント用の登録フォームを設定するように依頼されました。私は Authorize.net の再販業者ですが、クライアントが PCI に準拠する必要があることがわかった後、サインアップするのが難しい場合があります。PCI 準拠のサイト ドメインを 1 つ作成し、各クライアントの登録ページをそれぞれの個人用サブドメインで実行することを考えていました。これを行うと、ドメインの PCI コンプライアンスはサブドメインごとに無効になりますか、それとも引き続きカバーされますか?

現在、支払いゲートウェイをマーチャントページに統合しています。当社のウェブサイトでは、月に約100000から0.5milのトランザクションが見込まれています。支払いページにSSL証明書があります。支払いページを最大限にカスタマイズするためのSagePayとCyber​​Sourceはどちらも、DirectとSOAP APIであり、サーバーで支払いページをホストして支払い情報を収集できます。

私の唯一の心配は、これらの支払い情報をそれぞれの支払いゲートウェイに送信する前にサーバーに投稿することです。セッションやDBに保存していません。また、すべての投稿URLはSSL認定を受けています。

PCIコンプライアンスによると、サーバーから支払いデータを送信する場合は、毎年PCI監査を受ける必要があり、セキュリティ評価者がリモートテストと社内テストを実施します。

明らかに、これは高価になるでしょう。

SagePayDirect統合またはCyber​​SourceSOAPAPIドキュメントに従う場合、PCI準拠が必要ですか？

害虫になってすみません。私は、この質問がこのコミュニティ全体に存在することを認識しています。しかし、私の特定の統合方法に対する説得力のある答えを見ることができません。

専門の支払いセキュリティアドバイザーから回答を受け取るのは素晴らしいことです。

敬具、

従来の ASP サイト用に自動生成される ASPSESSIONID Cookie で HTTPONLY を有効にする方法を見つけようとしています。.NET 2.0+ サイトの ASP セッション Cookie がデフォルトで HTTPONLY に設定されていることは知っていますが、これを従来の ASP 用に構成する必要があります。HTTPONLY.dll フィルターを使用しようとしましたが、その ISAPI フィルターは手動で作成された Cookie に対してのみ機能します。

F5 を使用することは、現時点ではオプションではありません。IIS7 にアップグレードせずに IIS6 のみを使用してこれを行う方法があれば教えてください。ありがとう。

私がファイブのように説明してください、笑。Web 開発者として、私は従来の Web セットアップしか使用しませんでした。Java アプリケーションを取得し、それをどこかのサーバーにデプロイし、Web ブラウザーに接続してテストします。パスワードなどの機密情報を送受信する必要がある場合は、SSH サーバーが使用されます。

さて、Java Play で RESTful アプリを作成しました。Amazon EC2 インスタンスにデプロイしたい。PCI セキュリティの概念と、それを自分のセットアップに適用する方法について頭を悩ませることができませんでした。この場合、残りのアプリで管理機能を許可する必要があるため、さまざまな REST サービスに送信される要求にログイン資格情報を追加する必要があります。

Amazon EC2 側とクライアント側 (Jersey ベースのクライアント) でこれを行う最善の方法は何ですか。