所有源代码都需要符合 PCI 吗？

Posted 2023-02-22

【中文标题】所有源代码都需要符合 PCI 吗？

【英文标题】：Does all source code need to be PCI compliant?

【发布时间】：2011-09-05 21:21:14

【问题描述】：

我们过去从未传输、处理或存储信用卡信息，因为我们通过 PayPal 完成所有操作，因此我们从不需要符合 PCI 标准。

但是，我们正在推出一个新的在线商店，并且通过无缝结账，处理信用卡信息而不重定向到 PayPal，我们现在需要 PCI 合规性。

我们将咨询一家合格的安全评估公司，以指导我们获得和维护 PCI 合规性。但是，在他们试图向您推销您可能不需要的所有服务之前，我想在咨询他们之前对我正在查看的内容有一个不错的了解。

在PCI合规性方面，我理解需要在软硬件层面进行，并满足12点+要求。我们将使用 Magento Professional，因为它具有符合 PCI 的支付系统，并且我们将使用符合 PCI 的网络托管公司（专用服务器）。但就软件而言，您是否需要在所有方面都符合 PCI 标准？还是只是传输、存储和处理信用卡信息的软件？

例如，根据 Magento 的说法，支付软件符合 PCI，而 Magento 平台则不符合。因此，这允许您对 Magento 进行更改、修改和自定义，而不会影响支付软件的 PCI 合规性。

换句话说，我在问，您是否只需要处理传输、处理和存储信用卡信息的源代码/软件符合 PCI 标准？这些“合格的安全评估公司”给人的印象是所有源代码都需要检查 PCI 合规性，这是不可能的！

例如，在 Magento 的情况下，我可以对其进行更改和修改并仍然保持 PCI 兼容吗？只要支付模块不受影响，因为它符合 PCI 且网络托管、服务器和操作系统符合 PCI？

我的意思是不处理信用卡的 php、javascript、mysql 东西不需​​要合规是吗？他们当然会在同一台服务器上。

【问题讨论】：

像 Skype 一样，隔离一个单独的服务器来处理卡片数据。看看这个项目：github.com/joelonsql/pci-blackbox

【参考方案1】：

基本答案是视情况而定。通常，只有处理（或可以处理）PCI 的敏感和受保护数据的源代码才需要符合 PCI。但是，这意味着如果您的代码的其他区域可以访问安全区域，那么您也需要那里的安全性。例如，如果您的应用程序的另一个区域容易受到 SQL 注入的攻击，它可能会危及您的信用卡系统。这就是为什么有些人会倾向于所有软件的 PCI 合规性。必须确保可以利用编写不佳的软件来破坏数据的安全性。

我说这取决于，因为检查人员总是有一些解释空间。然而，好消息是，在所有标准中，PCI 似乎是最直接和最具体的关于您需要做什么和不能做什么的标准。以下是有关 PCI 直接说明的更多信息：

https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf

这里的基本问题是确保该站点不能在任何地方被利用。如果您在应用程序区域（信用卡数据与普通网站）之间建立了足够的“防火墙”，那么您只需扫描一些代码就会大有帮助。此外，正如上述文档所述，您不必为了符合 PCI 标准而进行源代码审查。但是，您的应用程序需要经过广泛的测试，以确保它不受典型漏洞的影响。

【参考方案2】：

我无法谈论 PCI 合规性的法律细节，但如果我是您系统的审核员，如果任何非认证代码以与运行认证代码相同的用户 ID 运行，我会大声尖叫。

我还会非常仔细地查看系统上的 setuid/setgid 可执行文件，以root 运行或使用提升的capabilities(7) 可能会影响 PCI 兼容软件，我可能会要求 @987654321 @ 工具，例如 AppArmor、SElinux、TOMOYO 或 SMACK，以及防止不受信任的执行域篡改服务器的 PCI 兼容部分的适当配置。

【讨论】：

虽然这可能是真的，但它与原始问题有点无关