在网上商店安全地存储个人信息

Question

目前，我正在为一个客户设置一个在线商店(使用OpenCart)。所有的支付和交易都是通过支付网关(PayPal等)进行的，所以网站永远不会存储支付信息(银行详细信息，卡号等)。

然而，我的客户仍然担心客户个人信息(地址、道布、全名等)的安全。我已经向他解释说，使用SSL，客户端和服务器之间传输的任何数据都是加密的，不加密服务器上的个人信息是正常的(我指出，即使是像索尼这样的大公司也不会)。

显然，加密MySQL的内容是完全可能的，但当然您仍然需要将密钥放在服务器上。如果有人进入服务器，他们也会得到密钥，并简单地解密数据库内容。

那么，关于更安全地存储个人信息，我还能做些什么吗？我是否遗漏了什么“行业技巧”。我认为行业标准是以纯文本存储个人信息，这是正确的吗？

谢谢。

Answer 1

即使您不是严格要求，也要根据您的场景尝试实现PCI遵从性。这将使您的客户安心，并要求您遵循一些行业最佳实践。您还必须做的一件事是扫描您的服务器--这将建立对服务器安全性的一些基本信心。

PCI合规性并不是安全性的保证。这基本上就是给你的门上锁，并确保窗户是关着的。

不能也不能检查的最重要的事情是你的webapp本身是否易受攻击。如果你的应用程序中有一个SQL注入攻击载体，那么你的数据可能会被窃取，即使你加密了整个数据库并将其锁在一个地下保险库中。因此，通过attempts to attack it获得应用程序的自动化测试覆盖率。定期运行这些测试。

一些随机搜索的PCI合规性指南：

• PCI compliance levels
• PCI checklist and scanner
• Official PCI FAQ

非常小心地注意:如果在任何阶段您的PCI服务器甚至触摸PCI卡数据，您都是要求符合。您不存储CC数据并不意味着不符合。合规性级别将不那么严格，但仍将存在合规性级别。

我不清楚PCI遵从性是否适用于您的场景。基本上，如果客户直接在paypal的网站上输入卡号，而你永远不知道卡号，你就不需要符合PCI标准。但是，如果他们将卡号输入您的网站，而您的服务器通过API将数据传递给Paypal，那么即使您没有存储他们输入的数据，您也需要符合PCI标准！