Stockage de carte de crédit Numéro - PCI?
https://stackoverflow.com/questions/4300863
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelles sont les règles PCI à suivre pour le stockage des numéros de carte de crédit dans une base de données?
1) est-ce permis? 2) si oui, quelles règles devons-nous suivre?
Im regardant ce site https://www.pcisecuritystandards.org/security_standards/index.php quel document dois-je être en train de lire ici?
La solution
1) Oui, il est permis, mais très, très découragé. Avoir ces informations dans votre base de données fait une cible extrêmement attrayante pour les pirates. Et si vous pensez que vous pouvez le protéger, détrompez-vous. Les pirates informatiques ont vaincu la sécurité des entreprises avec une excellente sécurité. Votre sécurité ne sera pas mieux.
2) Vous devez suivre les règles PCI décrites dans ce guide . Mais vous pouvez trouver ce guide plus facile à comprendre. Aller à la page 14 pour ce que vous devez savoir. Fondamentalement, vous pouvez stocker, mais il doit être crypté selon les normes PCI. Votre serveur et réseau doit également être sécurisé. Si une pièce du puzzle est non conforme PCI vous ne pouvez pas stocker les numéros de carte de crédit. Cela exclut la plupart des entreprises d'hébergement mutualisé comme une solution.
Autres conseils
Ce n'est pas une réponse directe, mais une suggestion. S'il vous plaît ne pas downvote; Je suis juste essayer d'être utile. Après beaucoup d'expérience avec la conformité PCI, je vous suggère fortement éviter d'avoir des informations de carte de crédit sur vos systèmes, si possible.
L'approche que nous avons utilisé (avec succès) est Tokenisation. Il existe des services qui collectent et enregistrent vos informations de carte de crédit pour vous. Vous faites un appel API pour obtenir un jeton, généralement un hachage de quelque sorte, ce qui représente le numéro de compte principal de la carte de crédit. Lorsque vous voulez facturer la carte, vous passez les détails de la transaction à jeton et, et ils qu'ils traitent le paiement.
Voici un article simple sur le processus: http: // www .creditcards.com / carte de crédit-Nouvelles / tokenization-à-combat carte de crédit-id-vol-1282.php
Il y a beaucoup d'options pour ces jours-ci ce:
- https://www.adyen.com/blog/tokenization-payment- technologie guide
- http://www.elementps.com/software-providers/security/pass /
- http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/
Pour plus d'informations sur cette approche, vous pouvez utiliser le Recherche Google: Crédit carte Tokenisation .
Vous pouvez, mais il est coûteux de le faire.
Vous devez avoir le DNS fourni par un autre service ou un serveur DNS dédié.
Vous devez avoir un serveur dédié exécutant votre base de données SQL Server et rien d'autre.
Vous devez utiliser un logiciel approuvé PCI.
Vos besoins de serveur de base de données pour être dans le même centre de données que votre serveur Web sinon vous aurez de mauvaises performances.
Il est donc préférable d'héberger votre site soit sur un hôte sécurisé PCI ou configurer vos serveurs comme je l'ai.
