تخزين رقم بطاقة الائتمان - PCI؟
https://stackoverflow.com/questions/4300863
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هي قواعد PCI التي يجب اتباعها لتخزين أرقام بطاقات الائتمان في قاعدة بيانات؟
1) هل هذا مسموح به؟ 2) إذا كان الأمر كذلك ، فما هي القواعد التي يجب أن نتبعها؟
أنا أنظر إلى هذا الموقع https://www.pcisecuritystandards.org/security_standards/index.phpما هي الوثيقة التي يجب أن أقرأها هنا؟
المحلول
1) نعم ، يُسمح به ولكن جدا جدا محبط. وجود هذه المعلومات في قاعدة البيانات الخاصة بك يجعلك هدفًا جذابًا للغاية للمتسللين. وإذا كنت تعتقد أنه يمكنك حمايته ، فكر مرة أخرى. هزم المتسللين أمن الشركات بأمن ممتاز. لن يكون أمنك أفضل.
2) عليك اتباع قواعد PCI المحددة في هذا الدليل. لكن قد تجد هذا الدليل أسهل للفهم. انتقل إلى الصفحة 14 لما تحتاج إلى معرفته. في الأساس ، يمكنك تخزينه ولكن يجب تشفيره وفقًا لمعايير PCI. يجب أن يكون الخادم والشبك الخاص بك آمنين أيضًا. إذا لم تكن أي قطعة من اللغز متوافقة مع PCI ، فلن تتمكن من تخزين أرقام بطاقة الائتمان. هذا يستبعد معظم شركات الاستضافة المشتركة كحل.
نصائح أخرى
هذه ليست إجابة مباشرة ، ولكن اقتراح. من فضلك لا تنزل. أنا فقط أحاول أن أكون مفيدًا. بعد خبرة كبيرة في امتثال PCI ، أقترح بشدة تجنب وجود معلومات بطاقة الائتمان على أنظمتك إذا كان ذلك ممكنًا.
النهج الذي استخدمناه (بنجاح كبير) هو الرمز المميز. هناك خدمات ستجمع وتخزين معلومات بطاقة الائتمان الخاصة بك لك. يمكنك إجراء مكالمة API للحصول على رمز ، بشكل عام تجزئة من نوع ما ، والذي يمثل رقم الحساب الأساسي لبطاقة الائتمان. عندما ترغب في فاتورة البطاقة ، تقوم بتمرير الرمز المميز وتفاصيل المعاملات الأخرى ، وهم يعالجون الدفع.
فيما يلي مقالة مباشرة حول العملية:http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-id-id-thft-1282.php
هناك الكثير من الخيارات لهذا الأيام:
- https://www.adyen.com/blog/tokenization-payment-technology-guide
- http://www.elementps.com/software-providers/security/pass/
- http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/
لمزيد من المعلومات حول هذا النهج ، يمكنك استخدام بحث Google: رمز بطاقة الائتمان.
يمكنك ولكن من الثمن أن تفعل.
تحتاج إلى توفير DNS بواسطة خدمة أخرى أو خادم DNS مخصص.
تحتاج إلى أن يكون لديك خادم مخصص يقوم بتشغيل قاعدة بيانات SQL Server ولا شيء آخر.
تحتاج إلى استخدام برنامج معتمد من PCI.
يجب أن يكون خادم قاعدة البيانات الخاص بك ضمن نفس مركز البيانات مثل خادم الويب الخاص بك آخر سيكون لديك أداء ضعيف.
لذلك من الأفضل إما استضافة موقعك على مضيف PCI الآمن أو إعداد الخوادم الخاصة بك كما وصفت.
