問題タブ [pci-dss]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 顧客の支払い詳細の保存 - PCI コンプライアンス
私は新しいクライアントとのプロジェクトに取り組んでいますが、ビジネスの種類が原因で、オンライン支払いを処理するためのマーチャント アカウントを取得するのに問題がありました。このシステムは、Just Eat/Expedia などと同じように機能し、顧客がサイトで注文してから会場に渡され、サイトが手数料を取ります。
クライアントは、顧客の支払いの詳細をデータベースに (暗号化して) 保存し、それを会場に渡して、社内のカード システムを使用して処理できるかどうかを尋ねました。これには PCI コンプライアンスの問題があることは承知していますが、何をする必要があるかについて正確な回答を得ることができませんでした。私はいくつかのホスティング会社と話をしましたが、ある会社は別の Web サーバーとデータベース サーバーを備えたクラスターが必要だと言っていますが、別の会社はそうしないと言っていました。私はこれまでにこのようなことをしたことがありません。通常は、SagePay などの誰かに支払い処理を委託するだけです。
提案された支払いフローは次のとおりです。
- お客様がウェブサイトで注文する
- 支払いの詳細はデータベースに保存されます
- 顧客に注文確認メールが送信されます。会場には注文通知がメールで送信されます。会場が注文を受け入れると、注文と支払いの詳細が社内のオフライン処理のために送信されます
- 会場が社内で支払いを行うと、注文が確認され、支払いの詳細がサイトのデータベースから削除されます
- お客様に最終注文確認メールが送信されます
私はすべてのプロセスが正しいことを確認したいと思っています。私が望んでいるのは、サイトが攻撃され、支払いの詳細が盗まれ、損失の責任を負わされることです!
アドバイスをいただければ幸いです。
pci-dss - PCI コンプライアンスについていくつか質問があります
マーチャント アカウントを調べていますが、私が理解していることから、配送先住所を保存することは PCI コンプライアンスに問題ありませんが、これは本当ですか? また、Recurly の API には SAQ C または SAQ D が必要なようで、サンプルの質問をいくつか調べました。
- 構成基準には、各インターネット接続および非武装地帯 (DMZ) と内部ネットワーク ゾーン間のファイアウォールの要件が含まれていますか?
- すべての外部ネットワーク接続と、ファイアウォールおよびルーター構成への変更を承認およびテストするための正式なプロセスはありますか?
つまり、ほとんどの人にとってNOだと思います。PCI コンプライアンスは、確立された企業だけに理想的ですか? 多くの人がそのシームレスなチェックアウトを望んでいると確信しており、PCI コンプライアンスを回避するためのサービスがいくつかあることは間違いありません。余分な努力をする価値はありますか?つまり、これらのサンプルの質問を見ることは、すでに大きな面倒のように見えます.
paypal - カード会員データを PayPal または他のサービス プロバイダーに保存しますか?
私は、PayPal 直接支払いを使用する e コマース Web サイトに取り組んでいます。当社の顧客は、PayPal がホストするページにクレジット カード情報を入力することになっているため、当社のサーバーはカード所有者のデータに決して触れません。
私たちの問題は、戻ってきた顧客が毎回クレジット カード情報を入力する必要がないように利便性を提供したいということです。また、カード所有者のデータを保存したり、触ったりしたくありません。
代わりに、この機密データを PayPal に保存して、次回は CustomerID のようなものを提供して、クレジット カード情報にアクセスして購入を完了するよう PayPal に依頼できるようにします。
PayPal やその他のサービス プロバイダーで可能ですか?
PS。また、Intuit Payment Wallet も試しました。カード所有者データを保存できますが、これらのデータをサーバーに送信して「ウォレット」を作成する必要があります。
credit-card - クレジットカード番号の下4桁を表示する方法
ユーザーに対して、システムに接続されているクレジット カードの最後の 4 桁を提示する必要があります (たとえば、Skype のように)。次のようになります。
カードに請求します xxx-xxx-xxxx-1234
CD の承認と課金には、「支払いゲートウェイ」を使用します。残念ながら、トランザクション番号に基づいてそのデータを返すことができる API はありません。ローカル DB に最後の 4 桁を保持することは合法ですか? PCI では問題ありませんか?
または、それを行う別の方法があるかもしれません。
java - 内部脆弱性スキャン レポート
プロジェクトの内部脆弱性スキャン レポートを作成するにはどうすればよいですか?
このレポートを生成するには、ツールを使用する必要がありますか? これに関連してウェブで検索しましたが、理解できませんでした。
pci-dss - Pcidss セクション 10
ログ報告ツールはたくさんありますが、選ぶのに困っています。監査ログを監視するためのツールを教えてもらえますか?
asp.net - PCIDSS を支援するため、ASP.Net のパスワードを 90 日ごとに変更する
PCIDSS 評価を完了しています。
要件では、パスワードは少なくとも 90 日ごとに変更する必要があり、以前の 4 つのパスワードのいずれとも異なるものにする必要があります。
これがサーバーへのアクセスのためなのか、サーバー上のユーザーに提供するアプリケーションへのアクセスなのかはわかりません。
後者の場合 - ASP.Net 3.5/4 Web アプリケーションと MVC4 Web アプリケーションでこれを強制する方法はありますか?
ありがとう、マーク
pci-dss - Pci-Dssのポリシーと手順
pcipolicyからPCI準拠のセキュリティポリシーと手順のドキュメントを購入しました。彼らの書面による方針は大丈夫ですが、文書は手続きについて私を助けません。彼らはhttps://www.pcisecuritystandards.org/で同じ提案をするだけです
私の質問は、誰かがそれらを購入したことがあり、それらはどれくらい良いですか?pcipolicyportalからドキュメントを購入することに興味がありますが、提案しますか?
linux - PCI-DSS 1.3.3/1.3.5、DMZ からインターネットへのアウトバウンド アクセスを制限
私たちは PCI レベル 1 を取得する過程にあり、誰かが PCI-DSS 1.3.3 および 1.3.5 要件に光を当てるのを助けることができれば、本当に感謝しています:
1.3.3 - 「インターネットとカード所有者データ環境の間のトラフィックのインバウンドまたはアウトバウンドの直接ルートを許可しない」 DMZ内。」
現在、Juniper SRX ファイアウォールを利用しており、Web サーバーを DMZ に配置し、mysql db サーバーを Trusted に配置しています。Trusted の場合、パブリックへのすべてのエグレスのロックダウンが完了し、更新を取得するために更新 (yum、clamav、waf-rules など) を取得するプロキシ サーバーを DMZ にセットアップする必要がありました。
しかし、Trusted で行ったように、DMZ でエグレスの完全なロックダウンも必要になるとは予想していませんでした。そして、私たちのプロキシもそこに住んでいて、更新などを取得するためにパブリックへのアウトバウンドアクセスが必要なため、DMZ でエグレスロックダウンを行うのは (私が間違っていない限り) 少し難しいと思います。サードパーティ ベンダーの IP は絶えず変化しているため、IP を使用してそれらをホワイトリストに登録することは困難です。
私の質問は、正確にどの程度の「制限」が必要かということです。信頼できるものについては、「すべて拒否」の出口と、アクセスできる選択された IP アドレスのホワイトリストがあります。DMZ もこれを必要としますか? または、ポートに基づいて DMZ に「すべて拒否」を設定することもできます。これにより、ミラーやサードパーティ サービスの絶え間なく変化する IP アドレスについて心配する必要がなくなるため、作業がはるかに簡単になります。
「ホスト名」に基づいてインテリジェントなフィルタリング (つまり、動的 IP ホワイトリスト) を行うプロキシ アプライアンスをいくつか見つけましたが、かなりの費用がかかるようです。
ご覧のとおり、私はいくつかの回答を探しています。私たちの監査人はあまり役に立たず、ロックダウンする必要があると言っているだけです。ここに PCI 監査の経験がある方がいらっしゃいましたら、ぜひご意見をお聞かせください。
asp.net - コード インジェクションを防ぐ方法 Windows サーバー 2008 R2 .aspx
PCI ガイドラインに準拠する必要があるサイトの世話をしています。しばらく前に多くの作業を行った後、最終的に PCI セキュリティ チェックに合格しました。最近また失敗し始めました。これは、セキュリティ チェックに新しいテストが追加されたためだと思われます。
現在、チェックが不平を言っているのは、サイトへのコード インジェクションの可能性です。これは、その内容の 1 つの例です。
Firebug を使用してソース コードを調べると、私のコードに対してこれが行われていることがわかります。
Ok。それ自体は害はありませんが、彼らが何をしようとしているのかがわかります。
彼らが提供する他の非常に類似した例がありますが、それらはすべて単独で同じ種類の線です.
この種のものから実際にどのように保護できますか?そして、それは有害ですか?
前もって感謝します。