PCI合规的成本？

Posted 2023-02-22

【中文标题】PCI合规的成本？

【英文标题】：Costs of PCI Compliance?

【发布时间】：2011-06-23 17:21:47

【问题描述】：

我们正在开发一款新软件（实际上只是一个 php 脚本），用于收集持卡人信息并将其存储在 mysql 数据库中。显然，我们正在采取一切安全预防措施（防火墙、防病毒、SELinux、限制对机器的访问），但我们正在尝试了解在将其投入使用之前需要采取哪些步骤。

由于客户是 4 级商户（没有实际交易，只是存储持卡人信息），我们需要进行哪些扫描才能找到？

显然我们需要扫描服务器/IP，但是收集数据的 php 脚本呢？

【问题讨论】：

我没有使用 PCI 的经验，但有一些通用的 PHP/SQL 建议：清理所有输入，转义所有输出，并确保任何错误消息都不会提供有关服务器端发生情况的任何信息.

我完全同意 tjmoore1993。但是，如果您坚持.. 给 VISA 打个电话。在互联网上向人们询问绝对是解决高度敏感问题的错误方法。 VISA 将非常彻底地概述该过程。有大量的软件和物理安全预防措施需要考虑。能够存储持卡人信息基本上不值得投资。

显然tjmoore1993的评论被删除了>:(

@jwir3，仅用于信用卡信息。当然，其他地方可能希望您无论如何都符合 PCI 标准。 PCI =“支付卡行业”

PCI 合规性只是一种安全认证，表明您已经制定了一些常识性的最佳实践来维护安全的信用卡交易信息。如果您处理信用卡，则需要符合 PCI 标准。它与支付网关 API 没有任何关系，实际上与代码没有直接关系。 PCI 合规性包括无 WiFi 网络、不存储卡号、审计（在某些级别）等。

【参考方案1】：

您的客户实际上并未执行交易这一事实不会影响他们的合规义务，因为 PCI/DSS 既适用于卡数据存储，也适用于交易处理，事实上，如果它们可归类为“服务提供商” " 有附加义务。

根据您与客户的关系以及您对软件（服务/现成产品等）的分类方式，您可能还需要承担针对支付（包括存储）软件开发人员的PA-DSS 下的额外义务，并且如果您销售的产品符合 PCI 标准，则可能会变得非常顽固。

如果您查看规范的V2 副本，所有要求都已列出，6.6 会解释您需要对面向公众的 Web 应用程序（“独立”代码审查或应用程序防火墙）执行哪些操作。