Является ли эта установка PCI-совместимой?

Я спорил с клиентом, который отказывается принимать стандарты PCI. Я хочу проконсультироваться с сообществом, чтобы убедиться, что я прав в своих возражениях.

Вопрос: Есть ли способ хранить информацию о кредитной карте на сервере виртуального хостинга и быть совместимым с PCI?

Вот настройка:

1) SSL внедряется для всего процесса оформления заказа и для административной части сайта клиента.

2) Информация о кредитной карте хранится на сервере (план общего хостинга) в базе данных MYSQL. Он зашифрован.

3) Клиент получает доступ к защищенной паролем панели администратора и печатает кредитную карту со своего сайта.

4) Затем клиент вручную запускает информацию о кредитной карте через терминал и удаляет эту информацию о кредитной карте с сервера.


encryption security credit-card pci-compliance
person orourkedd    schedule 19.08.2011    source источник
comment
Не по теме для этого сайта - пожалуйста, прочтите часто задаваемые вопросы. Существует более подходящий сайт обмена стеками безопасности.   -  person President James K. Polk    schedule 20.08.2011
comment
Не понимаю, почему это не по теме. Я не верю, что существование других сайтов SE, где это также было бы по теме, делает его здесь не по теме. Речь идет о программировании; вопрос описывает программную систему и спрашивает, обладает ли она определенным свойством. Тот факт, что это свойство соответствует PCI, а не, скажем, O(n) времени работы или свободе от утечек памяти, не кажется существенным.   -  person Tom Anderson    schedule 27.12.2011
comment
Где хранится ключ расшифровки? Если он находится на машине, то злоумышленник, имеющий доступ к вашей машине, может получить все номера карт, и это не будет соответствовать стандарту PCI, даже если он находится на выделенном хосте.   -  person Tom Anderson    schedule 27.12.2011

Ответы (4)


arrow_upward
-3
arrow_downward

Взгляните на облачное предложение maxesp от MaximumASP: http://www.maximumasp.com/products/cloudhosting/default.aspx

Они утверждают, что «полностью совместимы с PCI» как для веб-уровня, так и для уровня данных в их облачном плане общего хостинга. За исключением доказательств обратного, ответ на ваш вопрос будет "да" при условии утверждения MaximumASP. Я недостаточно знаком с деталями PCI, чтобы возражать против них, но мне было бы очень интересно, если бы кто-нибудь еще мог опровергнуть это утверждение.

person Troy Hunt    schedule 20.08.2011

arrow_upward
2
arrow_downward

Нет это не так.

Прочитайте https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf — это хорошее руководство по PCI DSS.

Лично я бы сказал, что разделы 5-10 здесь вряд ли будут.

person Mez    schedule 20.08.2011
comment
Я думаю, что согласен с вами в этом - person orourkedd; 20.08.2011

arrow_upward
0
arrow_downward

Иногда нам, как разработчикам, приходится направлять клиентов к лучшим практикам, даже когда они сопротивляются. Нынешняя практика хранения зашифрованных данных кажется чрезвычайно рискованной. Если выяснится, что ваш клиент нарушает правила, одни только штрафы могут разрушить его бизнес, и это может аукнуться и вам. На этом сайте есть полезная информация: https://www.owasp.org/index.php/Handling_E-Commerce_Payments

Многие торговые счета очень доступны для малого бизнеса. Вам следует настроить свой клиент с помощью Authorize.net или аналогичного шлюза. Настройка корзины/процесса оформления заказа является умеренно сложной задачей, но если вы смогли настроить систему, как вы описали, я уверен, что вы разберетесь с ней в течение недели или около того.

Удачи!

person Kyle Ridolfo    schedule 20.08.2011

arrow_upward
0
arrow_downward

Можно использовать провайдера виртуального хостинга и быть совместимым с PCI. Стандарт PCI включает дополнительные элементы управления, которые должны быть на месте, если вы являетесь (или используете) провайдером виртуального хостинга.

Дополнительные элементы управления включают в себя возможность разделения процессов между разными клиентами, контроль доступа к данным одного клиента другим клиентом, контроль доступа к журналам аудита и другие.

Однако, если вы решите пойти по этому пути... удачи!

person dfbpdave    schedule 27.12.2011