прозрачный прокси-сервер для замены данных кредитной карты токеном, чтобы избежать области действия PCI DSS

Question

Я работаю на соответствие PCI DSS моей компании.После некоторого исследования я обнаружил, что не стоит хранить данные кредитных карт вообще, поскольку это усложняет ситуацию.

Я обнаружил, что платежный провайдер предоставляет безопасное хранилище данных в сочетании с решением для токенизации.Поскольку я не хочу проверять все подмодули большого решения, я подумал о написании прозрачного прокси-сервера, который заменяет кредитную карту (находит ее с помощью регулярного выражения) и заменяет ее токеном, как только я хочу отправить кредиттретьему лицу, я отправляю его через прокси, и прокси меняет токен обратно на кредитную карту.это должно снизить требования к безопасному кодированию, включая аудит кода для прокси-сервера, поскольку весь остальной код просто получает токен.

Я использую ASP.NET MVC / Webforms и WCF.Каков наилучший способ сделать что-то подобное?Я думаю о написании HttpFilter / ISAPI для этой работы.

Может быть, уже есть такой продукт?Эта идея вообще имеет смысл?

Answer 1

Я бы предостерег от такого подхода.

1) регулярное выражение для перехвата всех возможных CC может быть слишком сложным или может не работать в определенных ситуациях (тире, пробелы, точки, ошибки в номерах CC). 2) вы можете поймать ложные срабатывания для данных, которые похожи на номер CC, но не (особенно двоичные данные) 3) вы не сможете поймать неправильно набранные номера CC 4) Он чувствует себя не так

Я бы предложил пойти еще дальше с вашим платежным процессором и найти тот, который предлагает не только PCI-совместимое и токенизированное пространство хранения CC, но также и страницу захвата CC, на которую вы перенаправляетесь, когда придет время захватывать CC детали от пользователя. Таким образом, ваши приложения не должны ничего делать

Answer 2

Совет по стандартам безопасности PCI выпустил руководство по токенизации.Вы можете найти его здесь: https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf

Важно отметить (как кажется, вы все равно знаете), что хотя вы можете использовать токенизацию для уменьшения воздействия PCI, вряд ли вы удалите все ваши системыпри соблюдении как минимум прокси токенизации будет находиться в области действия.

Answer 3

Вы можете захотеть взглянуть на что-то вроде API диспетчера информации о клиентах (CIM) Authorize.Net , которое позволяет вам создавать платежные профили, которые хранятся на серверах Authorize.Net, и выставлять счета в будущем. используя идентификатор профиля (он же токен).