Хранение номера кредитной карты - PCI?

Question

Каковы правила PCI для хранения номеров кредитных карт в базе данных?

1) это разрешено?2) если да, то каким правилам мы должны следовать?

Я смотрю на этот сайт https://www.pcisecuritystandards.org/security_standards/index.php какой документ мне следует читать здесь?

Answer 1

1) Да, это разрешено, но очень, очень не рекомендуется.Наличие этой информации в вашей базе данных делает вас чрезвычайно привлекательной целью для хакеров.И если вы думаете, что можете защитить это, подумайте еще раз.Хакеры победили безопасность компаний с превосходной безопасностью.Ваша безопасность не будет лучше.

2) Вы должны соблюдать правила PCI, изложенные в этом руководстве .Но вам может показаться, это руководство проще для понимания.Перейдите на страницу 14, чтобы узнать, что вам нужно.Вы можете хранить его, но он должен быть зашифрован в соответствии со стандартами PCI.Ваш сервер и сеть также должны быть в безопасности.Если какая-либо часть головоломки не соответствует PCI, вы не можете хранить номера кредитных карт.Это исключает большинство хостинговых компаний в качестве решения.

Answer 2

Это не прямой ответ, а предложение.Пожалуйста, не отрицайте;Я просто пытаюсь быть полезным.После большого опыта работы с PCI-совместимостью я настоятельно рекомендую вам избегать использования информации о кредитных картах в ваших системах, если это вообще возможно.

Подход, который мы использовали (с большим успехом), - это токенизация.Существуют службы, которые будут собирать и хранить информацию о вашей кредитной карте для вас.Вы делаете вызов API, чтобы получить токен, обычно какой-то хеш, который представляет основной номер счета кредитной карты.Когда вы хотите выставить счет на карту, вы передаете токен и другие детали транзакции, и они обрабатывают их платеж.

Вот простая статья о процессе: http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

Есть многовариантов для этого в эти дни:

• https://www.adyen.com/blog/tokenization-payment-technology-guide
• http://www.elementps.com/software-providers/security/pass/
• http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/

Для получения дополнительной информации оПри таком подходе вы можете использовать Поиск Google: токенизация кредитной карты .

Answer 3

Вы можете, но это дорого.

Вам нужно, чтобы DNS был предоставлен другой службой или выделенным DNS-сервером.

Вам необходим выделенный сервер, на котором работает база данных SQL Server.и ничего больше.

Вам необходимо использовать одобренное PCI программное обеспечение.

Ваш сервер базы данных должен находиться в том же центре обработки данных, что и ваш веб-сервер, иначе производительность будет низкой.

Так что лучше всего разместить сайт на безопасном хосте PCI или настроить серверы, как я описал.