問題タブ [pci-dss]

私の質問は、フォームで PRG パターンを使用するときにリダイレクト中にデータを保持する方法についてです。具体的には、これを e コマース アプリケーションで使用したいと考えています。リダイレクト経由でデータを保存するには 3 つのオプションがあり、それぞれに懸念があります。皆さんがこの問題を解決するのを手伝ってくれることを願っています:

1.) URL 文字列にデータを格納する

URL で渡される暗号化された文字列としてデータを保存できます。これは、クレジット カード情報を保存する必要がないという点で優れていますが、Google アナリティクスによって、暗号化されているにもかかわらず、クレジット カード情報がインデックスに登録されて検索結果に表示される可能性があるのではないかという懸念があります (間違っている可能性もあります)。 . うまくいけば、私はこの問題で間違っていて、この方法が最も簡単なので、この方法を使用できます。

2.) セッションにデータを保存する

データをセッションに保存することはできましたが、Cookie が無効になっているために一部のユーザーがセッションを使用できなくなり、アプリケーションの有用性が制限されるのではないかと心配しています。さらに、暗号化されたクレジット カード情報をセッションに保存しますが、PCI コンプライアンスは、いかなる状況でも CVV を保存することは許可されていないと述べています。

3.) データベースにデータを保存する

データをデータベースに保存することで、セッションとの互換性に関する懸念を解決できますが、どのような状況でも CVV 番号を保存できないという問題が残っています。

PRG パターンを使用する場合、URL を介して情報を渡すことが最善の方法のようです。ページ内の Google アナリティクスが URL 内のクエリ文字列をインデックス化するのではないかと心配しています。クエリが暗号化された読み取り不可能な形式のクレジット カード情報であったとしても、それが何かに表示されることは望ましくありません。Analytics がその情報を保存してインデックス化するという考えが間違っていることを願っています。

教えてください、助けてくれてありがとう。

Jasypt の StandardPBEStringEncryptor を使用する場合、Spring Bean 構成ファイルでパスワードを明示的に設定する必要があります。Bean 構成ファイルにパスワードを入れても安全ですか? 暗号化パスワードを保存することは、PCI コンプライアンスで問題になりますか?

毎月請求できるように、顧客ユーザーがクレジット カード情報を入力できるようにしたいと考えています。

この情報をどのように保存すればよいのでしょうか。

MySQL データベース (「ユーザー」テーブル) に保存する必要がありますか、それともこの種の情報は機密性が高く、別の場所に保存する必要がありますか?

私はこれを経験したことがないので、誰かがこれを達成する方法を教えてくれたらうれしいです.

ありがとう。

私は自分でPayPalに電話をかけてみましたが、電話の担当者はPayflow Linkがこのように機能することすら知らなかったので、彼のアドバイスを信用していません。私の検索はすべて、さまざまな答えに遭遇しました。

私はPayflowLinkを使用してeコマースサイトを構築しています。このサイトでは、CC処理がPaypalでホストされているページで処理されます。ただし、顧客が私のサーバーでホストされているフォームにすべてのCC情報を入力する高度な統合方法を実装することを検討していますが、フォームはSSLを介してPaypalのサーバーに直接POSTされます。この方法を使用すると、必要なPaypalレシートページを除いて、自分のサイトのブランドを維持できます。

この方法を使用するCC情報は、サーバーに決して触れないようにする必要があります。PCIに準拠する必要がありますか？技術的な観点からは、なぜそうすべきなのかわかりませんが、法的な観点からは、PCI-DSSドキュメントの専門用語に迷い込んでいます。このサイトは年間約1000件のトランザクションを実行します。

PCI コンプライアンスに関して、推奨される暗号鍵管理ソフトウェアはありますか? オープンソースが望ましいですが、商用もOKです。両方を提供するツールまたはソフトウェアはありますか?

PCI-DSSに準拠した別のWindowsServerを使用する場合、バックエンドをホストするSQL Azureがあれば、引き続き準拠しますか？これは、私がアプリケーション層に準拠しており、許可された値（CVVがないなど）のみを保存していることを前提としています。

私は、PCIDSSの負担を軽減するためのDatavaultとトークン化の使用について説明しているいくつかの記事を読んでいます。

私の質問は、トークンと引き換えにクレジットカード情報などのデータを安全に保存することを提案している会社はありますか？彼らは自分自身を認証し、トークンを提供することによってデータを表示する機能を提供していますか？

このセットアップはPCIDSSに準拠しますか？

このようなサービスは、支払いゲートウェイと同様に機能しますが、実際にカードを承認したり請求したりすることはなく、PCI コンプライアンスに関しては私たちの生活を楽にしてくれます.

私たちのクライアントは、私たちがカード情報を保持することを望んでいますが、それに対して行動することは望んでいません。約 1 か月後、顧客が最後まで持ちこたえられない場合、顧客はカードの詳細を使用して、標準のリテール カード マシンに情報を入力してカードに請求します。クライアントが PCI 準拠になるためには、クレジット カード情報を保存している私たちが PCI 準拠の方法でこれを行う必要があります。私が知る限り、私たちのオプションは次のとおりです。

1. 自分自身が PCI 準拠になる
2. クライアントにデータストアサービスとしての私たちから新しいサービスに切り替えてもらう

2.1 :
新しいサービスはペイパルまたは同様のものであり、資金の取得を承認して遅延させる必要があります (月ごとにかなりの追加コストがかかります)
2.2: 新しいサービスは上記のリモート データ ストアのみです。 （毎月の少額の追加料金で）

どんな洞察も歓迎します、ありがとう。

PCI コンプライアンスに関する質問はどこに行けばいいのかわからないので、SO を試してみようと思いました。誰かが私が質問できる正しい方向に私を向けることができれば、共有してください. それも答えとしてマークしていただければ幸いです。

PCI 準拠のサイトが、ユーザー情報を格納していないが、支払いプロセス中にレンダリングされる可能性のある HTML および JavaScript スニペットを含むデータベースに接続する場合、このデータベースは PCI 準拠を維持するために認証を受ける必要がありますか? MongoDB を評価していますが、レプリカ セットで構成すると認証が提供されないことがわかりました。

クレジットカード番号をデータベースに保存するために従うべきPCIルールは何ですか？

1）これは許可されていますか？2）もしそうなら、私たちはどのような規則に従わなければなりませんか？

このサイトhttps://www.pcisecuritystandards.org/security_standards/index.phpを見てい ますが、ここでどのドキュメントを読む必要がありますか？