Хранение номера кредитной карты - PCI?

Каковы правила PCI для хранения номеров кредитных карт в базе данных?

1) разрешено? 2) если да, то какие правила мы должны соблюдать?

Мне нравится этот сайт https://www.pcisecuritystandards.org/security_standards/index.php какой документ мне следует читать здесь?

Ответы

Ответ 1

1) Да, это разрешено, но очень, очень обескуражен. Наличие этой информации в вашей базе данных делает вас чрезвычайно привлекательной целью для хакеров. И если вы думаете, что можете защитить его, подумайте еще раз. Хакеры победили безопасность компаний с отличной безопасностью. Ваша безопасность не будет лучше.

2) В этом руководстве вам необходимо следовать правилам PCI, описанным . Но вы можете найти это руководство, которое легче понять. Перейдите на страницу 14, чтобы узнать, что вам нужно знать. В основном вы можете сохранить его, но он должен быть зашифрован в соответствии со стандартами PCI. Ваш сервер и сеть также должны быть безопасными. Если какой-либо фрагмент головоломки не соответствует требованиям PCI, вы не можете хранить номера кредитных карт. Это исключает большинство общедоступных хостинговых компаний в качестве решения.

Ответ 2

Это не прямой ответ, а предложение. Пожалуйста, не уменьшайте; Я просто стараюсь быть полезным. После большого опыта соблюдения PCI, я настоятельно рекомендую вам избегать наличия информации о кредитных картах в ваших системах, если это вообще возможно.

Подход, который мы использовали (с большим успехом), - это токенизация. Существуют службы, которые будут собирать и хранить информацию о вашей кредитной карте для вас. Вы получаете вызов API, чтобы получить токен, как правило, хеш-код, представляющий номер первичной учетной записи кредитной карты. Когда вы хотите оплатить карточку, вы передаете токены и другие данные о транзакции, и они обрабатывают их оплату.

Вот простая статья о процессе: http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

В наши дни есть много вариантов:

Для получения дополнительной информации об этом подходе вы можете использовать Google Search: Tokenization кредитной карты.

Ответ 3

Вы можете, но это дорого стоить.

Вам должен быть предоставлен DNS другой службой или выделенным DNS-сервером.

Вам нужен выделенный сервер, на котором выполняется ваша база данных SQL Server, и ничего больше.

Вам необходимо использовать программное обеспечение, одобренное PCI.

Ваш сервер базы данных должен находиться в том же Центре данных, что и ваш веб-сервер, у вас будет низкая производительность.

Поэтому лучше всего разместить свой сайт на защищенном хосте PCI или настроить серверы, как я описал.