クレジットカード番号の保存-PCI?
-
29-09-2019 - |
質問
データベースにクレジットカード番号を保存するために従うべきPCIルールは何ですか?
1)これは許可されていますか? 2)その場合、どのようなルールに従わなければなりませんか?
このサイトを見ています https://www.pcisecuritystandards.org/security_standards/index.phpここでどのドキュメントを読むべきですか?
解決
1)はい、それは許可されていますが 本当に本当に 落胆した。データベースにこの情報を入れると、ハッカーにとって非常に魅力的なターゲットになります。そして、あなたがそれを保護できると思うなら、もう一度考えてください。ハッカーは、優れたセキュリティを備えた企業のセキュリティを打ち負かしています。あなたのセキュリティはこれ以上良くなることはありません。
2)概説したPCIルールに従う必要があります このガイドで. 。しかし、あなたは見つけるかもしれません このガイド 理解しやすい。知っておくべきことについては、14ページに進みます。基本的に保存できますが、PCI標準に従って暗号化する必要があります。サーバーとネットワークも安全でなければなりません。パズルの一部がPCIに準拠していない場合は、クレジットカード番号を保存できません。これは、ほとんどの共有ホスティング会社を解決策として除外しています。
他のヒント
これは直接的な答えではなく、提案です。ダウンしないでください。私はただ助けになろうとしています。 PCIコンプライアンスの多くの経験の後、可能であれば、システムにクレジットカード情報を入手することを避けることを強くお勧めします。
(大成功を収めて)使用したアプローチはトークン化です。クレジットカード情報を収集して保存するサービスがあります。 APIコールを作成して、クレジットカードのプライマリアカウント番号を表す、一般的に何らかのハッシュであるトークンを取得します。カードに請求する場合、トークンやその他のトランザクションの詳細を渡すと、支払いを処理します。
プロセスに関する簡単な記事は次のとおりです。http://www.creditcards.com/credit-card-news/tokenization-to-pight-credit-card-id-theft-1282.php
最近はこれにはたくさんのオプションがあります:
- https://www.adyen.com/blog/tokenization-payment-technology-guide
- http://www.elementps.com/software-providers/security/pass/
- http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/
そのアプローチの詳細については、 Google検索:クレジットカードトークン化.
あなたはできますが、それは費用がかかります。
別のサービスまたは専用のDNSサーバーによってDNSを提供する必要があります。
SQL Serverデータベースを実行している専用サーバーが必要です。
PCI承認のソフトウェアを使用する必要があります。
データベースサーバーは、Webサーバーと同じデータセンター内にある必要があります。
そのため、PCIセキュアホストでサイトをホストするか、説明したようにサーバーをセットアップするのが最善です。