PCI-DSS法规

Question

我们正在开发一个新的软件(实际上只是一个php脚本)，它收集持卡人的信息并将其存储在MySQL数据库中。显然，我们正在采取一切安全防范措施(防火墙、反病毒、SELinux、对机器的限制性访问)，但我们正在努力了解下一步需要采取哪些步骤才能启用它。

由于客户是一个四级商人(没有实际交易，只是存储持卡人的信息)，我们需要什么扫描出去并找到？

显然，我们需要扫描服务器/IP，但是php脚本如何收集数据呢？

Answer 1

不幸的是，持卡人数据存储电子商务环境受制于最严格的PCI要求(D类).

注:人们会告诉你，1级商人比4级更严格的规则。这根本不是事实。审计只需要对一级商人，但如果你是一个四级，被发现违反规则，你仍然受到一些巨大的处罚和法律责任。

您需要遵循的完整规则列表如下：https://www.pcisecuritystandards.org/documents/pci_saq_d.pdf

在应用程序开发过程中，您需要特别注意需求1-4。

通常，我建议小商店外包持卡人的数据存储，甚至购物车的东西，如果可能的话，以减少头痛和责任。NetSuite、Paypal、和许多其他网站都可以帮助您。

Answer 2

首先，绝对要确保你必须存储卡的细节。如果有可能，你可以避免，那么我建议你尽一切努力这样做。通常，卡片处理网关允许您处理“重复事务”，您可以通过该网关提供初始事务的卡片详细信息，然后为重复交易提供事务ID。

但是，如果无法避免存储，则需要考虑以下几点

至于扫描，有许多在线PCI批准的扫描供应商.这些都可以在PCI网站的核准扫描供应商页面上找到.我可以非常衷心地推荐奎尔。我们使用它们，它们非常容易使用，并帮助您完成SAQ。

至于PHP脚本，对于如何开发代码没有多少要求，因为您的开发人员必须采用最佳实践和各种安全代码开发标准。还有大量关于测试和生产环境的需求。

开发处理卡数据的脚本包含在“需求6:开发和维护安全系统和应用程序”中的要求中。

“要求3:保护存储卡数据”中的要求涵盖了卡数据的存储。然而，本节涵盖所有形式的储存，例如纸面收据或电子.

然而，实现卡片数据的存储是相当棘手的，因为不仅必须对卡片数据进行加密，而且用于加密数据的密钥也必须被加密，第二个密钥只应该由两个单独的负责人知道。然而，有一些方法可以解决这一点，因为access的“精神”不仅是确保绝对遵从，而且是在无法保证遵从性的领域，那么就有足够的审计可用，以便跟踪和属性数据访问。

这方面的一些相关部分是对卡片数据存储的要求3.4，用于手动密钥管理和拆分知识的3.6.6，但是由于您的环境可能会有其他几个部分，所以我将注意阅读和理解需求和测试过程。

不幸的是，我不能直接链接到PCI标准的相关部分，因为它是一个PDF。

最后，不要忘记PCI不是一个“尽力而为”的标准。你必须遵守每一项要求，以便符合卡供应商的要求。当您不能满足要求或它们不适用时，您必须设置补偿控件，或者必须将要求记录为not Application，并解释原因。PCI-DSS是“要么全部要么一无所有”。

Answer 3

遗憾的是，没有真正的“一刀切”解决PCI遵从性的问题，因此所需的步骤将因情况而异。了解所需内容的最佳方法是通过自我评估问卷。

根据您的描述和准则 (pdf)中的信息，听起来您需要通过SAQ D进行工作，但是您需要再次检查它是否正确。如果你在这些步骤中有任何特定的问题，请随时更新你的问题，我会看看我是否能添加更多的具体信息。