这种设置是不是符合 PCI 标准？

Posted 2023-02-22

【中文标题】这种设置是不是符合 PCI 标准？

【英文标题】：Is this set-up PCI-Compliant?这种设置是否符合 PCI 标准？

【发布时间】：2011-10-31 00:00:33

【问题描述】：

我一直在与拒绝采用 PCI 标准的客户进行辩论。我想与社区核实，以确保我的反对意见是正确的。

问题：有没有办法将信用卡信息存储在共享托管服务器上并符合 PCI 标准？

设置如下：

1) 正在为整个结帐流程和客户网站的管理部分实施 SSL。

2) 信用卡信息存储在 mysql 数据库中的服务器（共享主机计划）中。它是加密的。

3) 客户访问受密码保护的管理面板并从她的网站打印信用卡。

4) 客户端然后通过终端手动运行信用卡信息并从服务器中删除该信用卡信息。

【问题讨论】：

本网站题外话——请阅读FAQ。有一个更合适的安全 stackexchange 站点。

我不明白为什么这是题外话。我不相信其他 SE 网站的存在也会成为话题，这会使它在这里脱离话题。这是一个关于编程的问题；该问题描述了一个软件系统，并询问它是否具有某种属性。该属性是 PCI 合规性而不是 O(n) 运行时间或免于内存泄漏这一事实似乎并不重要。

解密密钥存储在哪里？如果它在机器上，那么有权访问您机器的攻击者可以获取所有卡号，即使它在专用主机上，这也不符合 PCI 标准。

【参考方案1】：

不，不是。

阅读https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf - 这是一个很好的 PCI DSS 指南。

就个人而言，我认为第 5-10 节不太可能在这里发生。

【讨论】：

我想我同意你的观点

【参考方案2】：

有时，作为开发人员，我们必须引导客户采用最佳做法，即使他们反对。目前这种存储加密数据的做法听起来非常危险。如果发现您的客户违规，仅罚款就可能破坏他们的业务，并且它也可能再次困扰您。这个网站上有一些很好的信息： https://www.owasp.org/index.php/Handling_E-Commerce_Payments

许多商家帐户对于小型企业来说非常实惠。您应该考虑使用 Authorize.net 或类似网关设置您的客户端。设置购物车/结帐流程具有一定的挑战性，但如果您能够设置像您所描述的那样的系统，我相信您可以在一周左右的时间内搞定。

祝你好运！

【参考方案3】：

可以使用共享主机提供商并符合 PCI 标准。如果您是（或正在使用）共享托管服务提供商，PCI 标准包括额外的控制措施。

额外的控制包括分离不同客户端之间的进程、控制另一个客户端对一个客户端数据的访问、控制对审计日志的访问等。

但是，如果你决定走这条路……祝你好运！

【参考方案4】：

看看 MaximumASP 的 maxesp 云产品：http://www.maximumasp.com/products/cloudhosting/default.aspx

他们声称其共享托管云计划中的 Web 层和数据层“完全符合 PCI 标准”。如果没有相反的证据，您的问题的答案似乎是“是”假设MaximumASP 的主张是有效的。我对 PCI 的细节不够熟悉，无法反驳他们，但如果其他人可以反驳这一说法，我会非常感兴趣。