問題タブ [pci-dss]

この質問では、さまざまな支払い処理業者とその費用について説明していますが、クレジット カードでの支払いを受け入れたい場合、何をする必要があるかについての答えを探しています。

顧客のクレジット カード番号を保存する必要があるとします。そのため、クレジット カード プロセッサに頼って面倒な作業を行うという明白な解決策は利用できません。

どうやらクレジットカード情報を保存するための標準であるPCI Data Securityには、多くの一般的な要件がありますが、それらをどのように実装するのでしょうか?

また、独自のベスト プラクティスを持つVisaなどのベンダーについてはどうでしょうか。

マシンにキーフォブでアクセスする必要がありますか? 建物内のハッカーから物理的に保護するのはどうですか? あるいは、誰かが SQL Server データ ファイルを含むバックアップ ファイルを手に入れたらどうなるでしょうか?

バックアップはどうですか？そのデータの他の物理コピーはありますか?

ヒント:マーチャント アカウントを取得した場合は、段階的な価格設定ではなく、「インターチェンジ プラス」を請求するように交渉する必要があります。 段階的な価格設定により、使用されている Visa/MC のタイプに基づいて異なる料金が請求されます。彼らは、大きな報酬が添付されたカードに対して、より多くの料金を請求します。インターチェンジ プラス 請求とは、Visa/MC が請求する料金と定額料金のみをプロセッサに支払うことを意味します。(Amex と Discover は独自のレートを加盟店に直接請求するため、これらのカードには適用されません。Amex のレートは 3% の範囲で、Discover のレートは 1% まで低くなる可能性があります。Visa/MC は2% の範囲)。 このサービスは、あなたに代わって交渉を行うことになっています(私は使用していません。これは広告ではなく、私は Web サイトと提携していません。

このブログ投稿では、クレジット カードの取り扱いについて完全にまとめています(特に英国の場合)。

質問の言い方が間違っているかもしれませんが、次のようなヒントを探しています。

1. SecurIDまたはeTokenを使用して、追加のパスワード レイヤーを物理ボックスに追加します。
2. ボックスが物理的なロックまたはキーコードの組み合わせのある部屋にあることを確認してください。

JS ハックの代わりに、iframe から iframe 外の別のページに投稿できる方法はありますか?

iframe はサード パーティにデータを投稿し、リダイレクト URl である URL で応答するだけなので、フォーム ターゲットを設定できません。私たちはPCIに準拠しているため、使用できませんwindow.parent.location = url;

顧客の完全なクレジット カードの詳細 (番号、名前、有効期限、CVV2) を短期間保存する必要があるビジネス要件があります。

理論的根拠: 顧客が製品を注文するために電話をかけ、そのクレジット カードがその場で拒否された場合、販売を失う可能性があります。詳細を聞いて、取引に感謝し、カードが拒否されたことがわかった場合は、電話をかけ直すことができ、製品の別の支払い方法を見つける可能性が高くなります. クレジット カードが受け入れられた場合は、注文の詳細を消去します。

これを変更することはできません。既存のシステムはクレジット カードの詳細をクリア テキストで保存します。これを置き換えるために構築している新しいシステムでは、明らかにこれを複製するつもりはありません。

私の質問は、クレジットカードを短期間安全に保管するにはどうすればよいかということです。明らかに何らかの暗号化が必要ですが、これを行うための最良の方法は何ですか?

環境: C#、WinForms、SQL-Server。

サイトの SSL 脆弱性の問題をチェックする簡単な方法またはオンライン ツールはありますか?

PCI標準から、サイトは SSLv3 または TLSv1 プロトコルと高度なセキュリティ暗号化アルゴリズムを強制する必要があることがわかります。また、自分のサイトがこれらの PCI DSS 基準に準拠しているかどうかを確認する必要があります。

dbテーブルから消去したすべてのデータがハードディスク上のmdbファイル（およびその他）に保存されていないことを確認するにはどうすればよいですか？

私の状況は次のとおりです。
私のクライアントは、暗号化されていないクレジットカードデータをデータベース（SQL Server）に保存していました。PCI要件のおかげで、それらはすべてのデータを暗号化するようになりました...ただし、mdbファイルにはまだ暗号化されていない古いCCの一部が書き込まれています。
データベースにCCがもうないことを確認しました。データベースを圧縮しました。それをファイルにバックアップし、新しいデータベースに新たに復元しました。sp_cleandbも実行しました。
それでもなお、ディスク上の永続化されたファイルを分析すると、暗号化されていないCCがいくつか見つかります。これらは、DBに保存されておらず、SP、ビュー、またはUDFの一部ではなく、表示されません。任意のテーブルメタデータ。

それで、私の質問-すべての「悪い」CCデータが確実になくなるようにするにはどうすればよいですか？または、より一般的には、MSSQLに現在のデータのみを保存させ、「ゴミ」からファイルをクリーンアップするにはどうすればよいですか？

PCI / DSSには、セキュリティイベントについてアプリケーションのログを少なくとも毎日確認する必要があることを示す要件があります。ほとんどのネットワーク/インフラストラクチャの専門家は、ネットワークデバイスのログを確認できますが、実際のアプリケーションに精通していません。ほとんどのセキュリティ専門家にも同じことが言えます。

それで、開発者は本当にこの要件にステップアップしていますか？ログを確認することが唯一の仕事である開発者の職務記述書を作成する必要がある場合、それには何が含まれますか？

保存データのカテゴリでキャッシング製品の使用を検討しますか?

進行中の購入のためにクレジット カード情報を保存する、クレジット カードのカード オン ファイル サービスの経験がある人はいますか?

Web サービスなどを介してカスタム ASP.NET アプリと統合できるソリューションを探していますが、リスクを軽減し、PCI コンプライアンスの問題に対応するために、方程式の側から情報のストレージを削除します。

カード パス システムに対して、毎月の固定サブスクリプション請求を繰り返すのではなく、さまざまな金額で継続的な請求を行うことができるソリューションが必要です。

顧客のクレジットカード番号をオンラインで取得し、端末のPOSで店舗で支払いを処理したいというクライアントからの多くの要求がありました. これを行うための最良の方法は何だろうと思っています。

クレジット カード番号をプレーン テキストでサーバーに保存したくありません。また、プレーン テキストで番号を記載した電子メールを送信したくありません。

クライアントは、オンライン決済処理業者のコストが高く、追加のコストがかかるため、オンライン決済アカウントにサインアップしたくありません。また、商品の在庫切れや顧客の要求に問題があるために合計が変わる可能性があるため、両方の顧客がオンラインで請求することはできません。

他にどのようなオプションがありますか?

私はPHPを使用します。ルールが使用する方法に影響を与える場合、私もカナダにいます.