存储信用卡号 - PCI？

Posted 2023-02-22

【中文标题】存储信用卡号 - PCI？

【英文标题】：Storing Credit Card Number - PCI?

【发布时间】：2011-05-17 02:20:09

【问题描述】：

在数据库中存储信用卡号应遵循哪些 PCI 规则？

1) 这是否允许？ 2）如果是这样，我们必须遵循什么规则？

我在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件？

【问题讨论】：

尝试在 ***.com 中搜索“pci 合规性”。您将获得的不仅仅是便宜货。

您是否真的想要，即使允许？与安全存储它们所带来的头痛相比，用户必须重新输入它们的不便很小。而且我认为大多数用户也不喜欢网站存储他们的卡号。

如果您认为自己的安全性与亚马逊这样的公司一样好，请将其存储起来。它非常方便，它确实让我更有可能购买。没有真正回答你的问题，但我想我会说你的模型很好。

@Johnny - 事情是你不需要。 Authorize.net 和 Braintree，我敢肯定，此时大多数其他主要网关都提供安全保险库，您不必担心 PCI 合规性，但您仍然可以访问该卡以向您的帐户收费。

【参考方案1】：

1) 是的，这是允许的，但非常非常不鼓励。在您的数据库中拥有这些信息会使您成为黑客极具吸引力的目标。如果你认为你可以保护它，再想一想。黑客已经击败了具有出色安全性的公司的安全性。您的安全不会更好。

2) 您必须遵守in this guide 列出的 PCI 规则。但是您可能会发现this guide 更容易理解。前往第 14 页了解您需要了解的内容。基本上您可以存储它，但必须根据 PCI 标准对其进行加密。您的服务器和网络也必须是安全的。如果任何一块拼图不符合 PCI 标准，您就无法存储信用卡号。这排除了大多数共享托管公司作为解决方案。

【讨论】：

+1。只是想评论一下，尽管加密很容易，任何想要解决这个问题的人都不应低估加密密钥管理的困难。

如果您要存储信用卡号码，您还必须关注对服务器的所有类型的访问，包括物理访问。我在一家大公司为符合 PCI 的服务器进行操作，我们做了以下操作：CC 号码被加密（当然），对数据库服务器的访问仅限于 Web 服务器的 IP 地址和运营团队 IP 地址的 IP 地址（我无法从家里甚至不同的建筑物连接），并且服务器在一个上锁的笼子里（字面上有一条链子并锁在上面）。即使我进入了 DC，我也无法访问机器。

【参考方案2】：

这不是一个直接的答案，而是一个建议。请不要投反对票；我只是想提供帮助。在获得了丰富的 PCI 合规经验后，我强烈建议您尽可能避免在系统上保存信用卡信息。

我们使用的方法（非常成功）是标记化。有些服务会为您收集和存储您的信用卡信息。您进行 API 调用以获取令牌，通常是某种散列，表示信用卡的主帐号。当您想为卡计费时，您传递令牌和其他交易详细信息，然后他们处理付款。

这是一篇关于该过程的简单文章： http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

现在有很多选择：

https://www.adyen.com/blog/tokenization-payment-technology-guide http://www.elementps.com/software-providers/security/pass/ http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/

有关该方法的更多信息，您可以使用Google Search: Credit Card Tokenization。

【讨论】：

这不是一个直接的答案，但恕我直言，作为一种替代方法具有很大的价值。 +1

我在 2106 年 12 月将 Adyen 添加到令牌化支付提供商列表中。我个人没有使用过它们，但我今天在我的 JetBrains 帐户中注意到这是 JetBrains 使用的。作为（恕我直言）***开发人员工具提供商之一，我认为他们已经对 Adyen 进行了适当的安全审查。

我们使用了标记化，但是当您想要迁移到不同的信用卡处理器时，它是一场噩梦。

@DD。我真的可以看到情况会怎样。我想你必须权衡一下自己管理具体信用卡数据的潜在噩梦。除非我在一家金融机构工作，该机构拥有非常称职的安全部门，否则我仍然认为我更喜欢代币化。不过，您的情况和里程会有所不同。祝你好运。

【参考方案3】：

你可以，但这样做很昂贵。

您需要由其他服务或专用 DNS 服务器提供 DNS。

您需要有一个专门的服务器来运行您的 SQL Server 数据库，仅此而已。

您需要使用 PCI 认可的软件。

您的数据库服务器需要与您的 Web 服务器位于同一数据中心内，否则性能会很差。

因此，最好将您的网站托管在 PCI 安全主机上，或者按照我的描述设置您的服务器。

【讨论】：

DNS 与此有什么关系？