PCI的密钥管理与支付自动化

Question

我们是一家自举的初创公司，希望实现PCI的兼容性，我们几乎掌握了所有的需求，但最近我看到了一篇博客文章，它完全破坏了我们的计划和努力：http://securology.blogspot.in/2008/12/stupidest-pci-requirement-ever.html

“考虑一下一个自动化的电子商务系统。自动化的概念意味着它在没有人与人的交互的情况下独立工作。如果电子商务系统需要处理或存储信用卡号码，它将需要在交易发生时对它们进行加密和解密。为了实现这些加密功能，软件必须能够访问加密密钥。软件只拥有部分密钥或依靠一对人提供密钥的副本是没有意义的。这就违背了自动化的意义。”

。。因此，我们不能使用存储的持卡人数据在每月付款日期自动处理付款？我们是否都要为每一笔交易输入密钥，这是不可能的，对吧？

Answer 1

您可以使用存储的密钥，而不必手动输入键，但您也必须每个季度旋转(更改)键，并且为每个客户设置一个单独的键也是一个好主意。