是否所有的源代码都需要符合PCI标准？

Question

在过去，我们从未传输、处理或存储信用卡信息，因为我们通过PayPal完成所有操作，因此我们永远不需要符合PCI标准。

然而，我们正在推出一个新的在线商店，通过无缝结账，信用卡信息无需重定向到PayPal，我们现在就需要PCI合规性。

我们将咨询一家合格的安全评估公司，以指导我们获得和维护PCI合规性。然而，在咨询他们之前，我想要对我正在看的东西有一个像样的想法，在他们试图向你出售你可能不需要的每一项服务之前。

在PCI合规性方面，我理解这需要在软件和硬件层面上完成，并满足12分以上的要求。我们将与Magento Professional合作，因为它有一个PCI兼容的支付系统，我们将与PCI兼容的虚拟主机公司(专用服务器)。但是在软件方面，您是否需要在所有东西上都符合PCI？或者仅仅是传输、存储和处理信用卡信息的软件？

例如，根据Magento的说法，支付软件是PCI兼容的，而Magento平台不是。因此，这允许您对Magento进行更改、修改和自定义，而不会影响支付软件的PCI合规性。

换句话说，我想问的是，您是否只需要在处理传输、处理和存储信用卡信息的源代码/软件上符合PCI规范？这些“合格的安全评估公司”给人的印象是，所有的源代码都需要检查PCI合规性，这是不可能的！

例如，在Magento的情况下，我是否可以对其进行更改和修改，同时仍然保持PCI兼容？只要支付模块是原封不动的，因为它是PCI兼容的，并且虚拟主机、服务器和操作系统是PCI兼容的？

我的意思是，php、javascript、mysql这些不处理信用卡的东西不需要合规，不是吗？当然，它们将位于同一服务器上。

Answer 1

基本答案是视情况而定。一般而言，只有处理(或可以处理) PCI敏感和受保护数据的源代码需要与PCI兼容。然而，这意味着如果您的代码的其他区域可以访问安全区域，那么您也需要那里的安全性。例如，如果您的应用程序的另一个区域容易受到SQL注入的攻击，那么它可能会危害您的信用卡系统。这就是为什么有些人会倾向于所有软件的PCI遵从性。必须有一些保证，即写得不好的软件可能会被利用来损害数据的安全性。

我说这要看情况，因为进行检查的人总是有一些解释的空间。然而，好消息是，在所有标准中，PCI似乎是关于您需要做什么和不能做什么的最直接和最具体的标准。以下是有关PCI直接说明的更多信息：

https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf

这里的基本问题是确保该站点不能在任何地方被利用。如果你在你的应用程序区域(信用卡数据与普通网站)之间建立了足够的“防火墙”，它将在很长一段时间内显示出你只需要扫描一些代码。此外，正如上面的文档所述，您不必为了符合PCI而进行源代码审查。但是，您的应用程序需要经过广泛的测试，以确保它不受典型漏洞的攻击。

Answer 2

我不能谈论PCI遵从性的法律细节，但如果我是您系统的审计师，如果任何未认证的代码以运行认证代码的同一userid运行，我会大声叫喊。

我还会非常仔细地查看系统上有哪些setuid/setgid可执行文件，哪些文件作为root运行，或者使用可能影响与PCI兼容的软件的提升的capabilities(7)，我可能需要mandatory access control工具，如AppArmor、SElinux、TOMOYO或SMACK，以及适当的配置，以防止不受信任的执行域篡改服务器的与PCI兼容的部分。