問題タブ [pci-dss]

PCI-DSS監査の一環として、すべての開発者がこの分野の重要性を確実に理解できるように、セキュリティ分野のコーディング基準の改善を検討しています。

組織内でこのトピックにどのように取り組んでいますか?

余談ですが、クレジット/デビット カードによる支払いを受け入れる .NET 3.5 で公開 Web アプリを作成しています。

これまで、PCI コンプライアンスに対処する必要はありませんでした。文書を読んだところ、クレジット カード番号、有効期限、およびカード所有者の名前を保護する必要があると書かれています。セキュリティコードの保存はありません。

彼らのドキュメントでは、保護とだけ書かれています。これは、データベース内のこれら 3 つの列を暗号化する必要があるということですか? 暗号化する必要があるデータは数字だけだと思いました。いずれにせよ、私は大丈夫です。

3 つの列すべてを暗号化する必要がある場合、1 つの証明書を共有して 3 つの対称キーを使用する必要がありますか?それとも、3 つの列すべてで使用されている対称キーを使用して、それぞれ 1 つだけ必要ですか? 私が尋ねる理由は、列の暗号化に関する BoL ドキュメントにあります。キーは、暗号化する列にちなんで名付けられています。

助けてくれてありがとう！

私は、非常に貧弱なデザインの中小企業の小売 Web サイトを継承して作業しようとしています。とりわけ、最大の懸念は、現在のクレジット カードの処理です。

現在、所有者はクレジット カード情報 (名前、番号、CVV2、および有効期限) をオンライン注文フォームから取得し、そのすべての情報を MySQL データベース内にプレーン テキストで保存しています。その後、誰かが注文したという通知が彼の電子メールに送信されます。その後、彼は注文とクレジット カード情報を表示する管理用バックエンド ページを作成し、自分のマーチャントでオフラインで処理するために使用します。

バックエンド ページから情報を取得した後、クレジット カード番号と CVV2 はすぐに削除されます (PHP スクリプトが自動的に呼び出されます)。また、7日以内に当該ページにアクセスしない場合も情報は削除されます。そのため、すべての情報がトランザクション処理前の 7 日間、プレーン テキストでデータベースに存在する可能性があります。

これは良い設計とは思えず、違法である可能性があります。もしそれが違法なら、彼はまだ気づいていないので、私は彼にこれを打ち明けなければなりません.

私の質問: 安全ではないことに加えて、これは違法または利用規約 (PCI DSS) の違反ですか? そして、もしそうなら、どうすれば彼にそれを証明して、彼が私に彼のやり方を変えることを許可することができますか (明らかに、私は違法なことに手を出したくありません.また、利用規約の文言が時々主観的に見える）？最後に、この問題を解決するための最良のオプションは何ですか (サード パーティのオンライン マーチャント、PCI DSS 準拠になるなど)?

Webアプリケーションがあり、HTTPSを介してWebブラウザからPOST要求を介して送信されたクレジットカードデータを受信し、リモートPCIコンパイラカードプロセッサへのソケット（SSL）を即座に開いてデータを転送し、応答を待つ場合、私はそれを許可しますか？または、これは私のアプリケーションでデータを受信し、それを転送することはすでに「クレジットカードデータの処理」の対象ですか？

クライアントブラウザに表示されてccデータを入力するiframeを作成し、このiframeがHTTPS経由でリモートカードプロセッサにデータを送信する場合（直接！）、これはすでにクレジットカードデータを処理する場合ですか？アプリケーションコードが入力されたデータにイベントハンドラーで「触れない」場合でも？

「クレジットカードのデータ処理」の定義に興味があります。いつccデータ処理アプリケーションになり始めますか？誰かが、「処理アプリケーション」になり始める時期を明確に定義するPCI-DSS標準のそのセクションを指摘してもらえますか？

ありがとう、

メンバーシップの詳細とクレジットカードの詳細を保存するように設計されたソリューションを開発しています。可能な限りPCIDSSに準拠しようとしています。これまでの私のデザインは次のとおりです。

PAN=プライマリアカウント番号==クレジットカードの長い番号

• サーバーAはリモートサーバーです。すべてのメンバーシップの詳細（名前、住所など）を保存し、保存されているPANごとに個別のキーAを提供します
  
• サーバーBはローカルサーバーであり、実際には暗号化されたPANとキーBを保持し、復号化を行います。

PANを取得するには、クライアントは両方のサーバーで認証する必要があり、サーバーAにそれぞれのキーAを要求してから、キーAをサーバーBに渡します。これにより、PANがクライアントに返されます（認証が成功した場合）。サーバーAは、キーAをサーバーBの公開鍵でのみ暗号化します。これは、事前に暗号化されているためです。サーバーBはおそらく最初にソルトを送信する必要がありますが、暗号化する必要はないと思います

上記に関しては、実装（つまりコーディング）の詳細についてはまだ考えていませんが、ソリューションはJavaのCajoフレームワーク（RMIのラッパー）を使用しているため、サーバーは相互に通信します（現在、メンバーシップの詳細は転送されます）この上）。

クライアントではなくサーバーBに復号化を実行させたい理由は、サーバーではおそらく同じくらい悪いのに、復号化キーがクライアントのRAMに入るのを恐れているからです...

誰かが上記のデザインに何か問題があるのを見ることができますか？上記を変更する必要があるかどうかは関係ありません。

ありがとう

jtnire

私は、ファイルの削除を保護するための多くのアプリケーションを検討してきました。ゼロとランダムな文字でファイルを数回上書きするという概念を理解しています。ただし、実際にファイルを削除する前に、ファイルの名前を最大30回変更するという概念がわかりません。

サイトの PCI コンプライアンスを取得しようとしていますが、Mcafee のセキュリティ スキャンで次のエラーが発生しました:

Potential Sensitive Persistent Cookie Sent Over a Non-Encrypted (SSL) Channel

Drupal (デフォルトの動作) は、サイトにアクセスしただけでセッション Cookie を設定します。これが問題の原因です。明らかに、サイト全体を SSL の下に置くべきではありません。他の多くのサイトがこのようにセッション Cookie を設定しています。

何を与える？

一部のクレジットカード処理では、PCIに準拠する必要があります。人々は他の店でこれをどのように行いますか？

SVNをどのように保護しますか？

ビルドサーバーをどのように保護しますか？

コードはどのようにして開発者から本番環境に移行されますか？

支払いゲートウェイを使用し、ホストされているページを使用しないことに決めたと仮定しますが、このページで説明されているように、独自のクレジット カード詳細フォームを提供し、xml 経由でバックエンドにデータを送信します。それで：

1. PCI コンプライアンスについて心配する必要はありますか? その場合、私、私のホスティング会社、または支払いゲートウェイの担当者は、どの手順 ( PCI Web サイト) を整理する必要がありますか?
2. フォームが SSL である限り、サイトは自動的に準拠すると言われました。そうですか？

助けてくれてありがとう

支払いゲートウェイとしてeWayを使用することを検討しています。2つのオプションがあります。1つは、ユーザーがeWayでホストされているWebサイトにクレジットカードデータを入力できるようにすることです。もう1つは、自分のフォームを使用して、サーバー経由でeWaysバックエンドにクレジットカードデータを送信できるようにすることです。2番目のオプション（詳細が記載されたページ）ユーザーが私のサイトを離れることはなく、ブランディングが維持されるため、私にとってはより適切なようです。今、私はサポートに話しました、そして彼らは私がSSLを使う限り私のサイトはPCIに準拠するだろうと言いました。つまり、基本的に、ユーザーが自分のサイトでCC番号を提供し、それをXML経由でeWaysバックエンドに送信できるようにすることができます。機密データを保存しない限り、転送するだけで問題ありません。これまで、CCデータがサーバーに到達する限り、サイトはPCIに準拠している必要があると考えていましたが、今はわかりません。誰かが私にそれが本当にどうであるかを説明することができれば、それは大いにありがたいです。