Firebase 托管 PCI 合规性
Posted
技术标签:
【中文标题】Firebase 托管 PCI 合规性【英文标题】:Firebase Hosting PCI Compliance 【发布时间】:2019-09-15 08:18:36 【问题描述】:我们已经构建了一个以 Firebase 为技术中心的 Web 应用程序平台,此时,当我们需要提交 PCI DSS 时,我们的系统未能通过测试,因为它都是基于 Firebase 构建的。请告诉我,firebase 托管是符合 PCI 标准的。我的报告通过了除反向代理测试之外的所有测试。能否解决这个问题,或者我们需要花费时间和金钱在其他地方重建/移动整个基础设施。以下是 ASV 报告的问题。
所以基本上为了符合 pci,我们应该有一个符合 pci 的反向代理,如果谷歌证明反向代理 (varnish),他们可以设置它报告一个兼容的。
谁能帮帮我们?
【问题讨论】:
【参考方案1】:是否只对x-varnish、via 和server 标头进行核处理,以便无法轻易检测到清漆?
在你的/etc/varnish/default.vcl:
sub vcl_deliver
unset resp.http.via;
unset resp.http.server;
unset resp.http.x-varnish;
【讨论】:
我相信 firebase 团队可以这样做......作为 firebase 托管的消费者,我无权进行此类修改。以上是关于Firebase 托管 PCI 合规性的主要内容,如果未能解决你的问题,请参考以下文章
我可以在没有 PCI 合规性的情况下存储用户银行详细信息吗?
会话 ID cookie 上的 Mcafee PCI 合规性失败?