問題タブ [pci-dss]

詳細な ClickOnce ログは、少なくともその内容 (要件 10.3) に関する限り、PCI DSS 2.0要件 10.2.7 に準拠していると見なされますか?

(10.2) 次のイベントを再構築するために、すべてのシステム コンポーネントに自動化された監査証跡を実装します。 (10.2.7) システム レベル オブジェクトの作成と削除

このようなロギングのサンプルを分析すると、特に役立ちます。

PCI コンプライアンスは、カードの詳細の保存だけでなく、転送にも影響することを理解しています。たとえば、単純にカード番号を収集して https 経由で送信したい場合、PCI 準拠の手順を実行する必要がありますか?

PCI 準拠で失敗する PHP サイトがあり、唯一のエラーは次のとおりです。

Microsoft ASP.NET ValidateRequest フィルターがクロスサイト スクリプティングの脆弱性を回避

これは IIS 上の PHP サイトです。このサイトを PCI テストに合格させるにはどうすればよいですか。

PCIコンプライアンステストの一環として、トランスポートレベルのセキュリティと証明書を使用して保護されたWCFnet.tcpエンドポイントがSSLv2接続を許可していることを発見しました。私たちのサービスは自己ホスト型であるため、IISと連携してそれらをホストしているわけではないため、IISベースのソリューションは機能しないと思います。

多くのMSDNページを調べた後、使用するSSLのバージョンをWCF接続に指示する方法をまだ見つけていません。

PCI準拠のために、接続はSSLv3のみを受け入れ、SSLv2は受け入れないようにする必要があります。

誰かがWCF接続（ホストとクライアントの両方）で強制SSLバージョンを設定する方法を知っていますか、またはWindowsマシン全体でこれを行う方法についてのボーダーアプローチはありますか？

このサイト ( https://www.martialartstechnologies.com/register?tournamentID=82 )に似た、支払いを受けるクライアント用の登録フォームを設定するように依頼されました。私は Authorize.net の再販業者ですが、クライアントが PCI に準拠する必要があることがわかった後、サインアップするのが難しい場合があります。PCI 準拠のサイト ドメインを 1 つ作成し、各クライアントの登録ページをそれぞれの個人用サブドメインで実行することを考えていました。これを行うと、ドメインの PCI コンプライアンスはサブドメインごとに無効になりますか、それとも引き続きカバーされますか?

現在、支払いゲートウェイをマーチャントページに統合しています。当社のウェブサイトでは、月に約100000から0.5milのトランザクションが見込まれています。支払いページにSSL証明書があります。支払いページを最大限にカスタマイズするためのSagePayとCyber​​Sourceはどちらも、DirectとSOAP APIであり、サーバーで支払いページをホストして支払い情報を収集できます。

私の唯一の心配は、これらの支払い情報をそれぞれの支払いゲートウェイに送信する前にサーバーに投稿することです。セッションやDBに保存していません。また、すべての投稿URLはSSL認定を受けています。

PCIコンプライアンスによると、サーバーから支払いデータを送信する場合は、毎年PCI監査を受ける必要があり、セキュリティ評価者がリモートテストと社内テストを実施します。

明らかに、これは高価になるでしょう。

SagePayDirect統合またはCyber​​SourceSOAPAPIドキュメントに従う場合、PCI準拠が必要ですか？

害虫になってすみません。私は、この質問がこのコミュニティ全体に存在することを認識しています。しかし、私の特定の統合方法に対する説得力のある答えを見ることができません。

専門の支払いセキュリティアドバイザーから回答を受け取るのは素晴らしいことです。

敬具、

定期的な支払いのためにクレジットカード情報をローカルに保存する代わりに、支払いゲートウェイに特定の金額の承認を要求し、その金額を毎月かそこらで複数回取得できると考えていました。

あるPaymentGatewayのドキュメントには、「キャプチャは元の承認以下の金額で提出できます」と記載されています。これらの定期的な支払いは変動するため、これは少し問題です（つまり、APIリクエストの数に基づいて請求されますが、先月より多い場合も少ない場合もあります）。別のペイメントゲートウェイのドキュメントには、「元の承認のみのトランザクションが過去30日以内に送信された」場合にのみキャプチャできると記載されています。動作します。

私が読んだ多くの場所から、CVVではなくクレジットカード番号（暗号化）を保存して定期的な支払いを行い、その後、毎月新しい承認とキャプチャのトランザクションを実行します。ただし、これに関する問題は、暗号化されている場合でもCC番号を保存するには、完全なPCI DSS準拠が必要であり、管理上、「すべての監査証跡へのアクセスがログに記録されていることを確認する」などの要件があり、非常に面倒なようです。"および"外部向けテクノロジー（ワイヤレス、ファイアウォール、DNS、メールなど）のログがオフロードされるか、安全な集中型の内部ログサーバーまたはメディアにコピーされることを確認します。

authorize.netにはCIMAPIがあり、法案に適合しているように見えますが、私にはわかりません...私の雇用主はauthorize.netを使いたくないので、それはテーブルから外れていると思います。

何か案は？

クレジット カードの支払い承認を管理するために、PHP を使用してマネージャー クラスを構築しています。クレジット カードの場合First6、 、last4、expiration_Monthおよびを保持できますexpiration_Year。

これら 4 つの変数の組み合わせがどれほどユニークで、別の変数に遭遇する可能性が高いかを知りたいと思っています。

新しいカードの有効な承認を既に取得しているかどうかをテストする時期に影響する可能性に応じて. 特定のカードの承認を既に取得している場合は、再度番号を実行する必要はありません。代わりに、すでに承認されているカードを見つけて、再承認を行うことができます。ただし、似てFirst6いるlast4、、、expiration_Monthおよびexpiration_Year..

私の目標は、クレジット カード データのデータ冗長性、CC プロセッサ API へのヒット、および顧客カードの不要な認証を制限することです。

プラットフォーム レベルで PCI に VPC を使用する必要がありますか? それとも、PCI はセキュリティ グループだけで達成できますか?

この質問について Amazon からさまざまな回答を得たので、私がこれを尋ねているだけです。営業担当者は、VPC は PCI に準拠する必要があると述べていますが、VPC は必要なく、標準のセキュリティ グループで十分であると主張するエンジニアもいます。

私は PCI-DSS 要件のいくつかを分解しました。これをコミュニティとしてハッシュ化できることを願っています。

疑問点:

1.3.5 カード会員データ環境からインターネットへの無許可の送信トラフィックを許可しないでください。-標準のセキュリティ グループでは許可されていないため、ソフトウェア レベルでこれを実行できるはずです。

うまくいくはずのもの：

1.1.3 各インターネット接続および非武装地帯 (DMZ) と内部ネットワーク ゾーン間のファイアウォールの要件。-どちらもこれを許可します。

1.2 信頼されていないネットワークとカード会員データ環境内のシステム コンポーネントとの間の接続を制限するファイアウォールおよびルーター構成を構築します。-アプリケーション サーバーとデータベースのセキュリティ グループを簡単に作成し、アプリケーションのみがデータベース グループにアクセスできるようにします。

1.3 インターネットとカード会員データ環境内のシステム コンポーネントとの間の直接的なパブリック アクセスを禁止します。-セキュリティ グループを使用して、すべてのパブリック アクセスを禁止できます。

1.3.1 DMZ を実装して、インバウンド トラフィックを、許可された公的にアクセス可能なサービス、プロトコル、およびポートを提供するシステム コンポーネントのみに制限します。-このタスクにはロードバランサーを使用します。

1.3.2 インバウンドのインターネット トラフィックを DMZ 内の IP アドレスに制限します。-ロードバランサーは、公的にアクセス可能な唯一のサーバーになります。

1.3.6 動的パケット フィルタリングとも呼ばれるステートフル インスペクションを実装します。(つまり、「確立された」接続のみがネットワークに入ることができます。) -標準セキュリティ グループは、ステートフル インスペクションを実行します。

そのリストに基づいて、セキュリティ グループだけで PCI コンプライアンスを達成することを妨げるものは何もないと思います。賛成/反対があれば教えてください。

**また、PAN を保存していません。これはクリーンなパススルーです。

フィードバックに感謝します。