webdevqa.jp.net

クレジットカード番号の保存-PCI?

クレジットカード番号をデータベースに保存するために従うべきPCIルールは何ですか?

1)これは許可されていますか? 2)もしそうなら、どのようなルールに従う必要がありますか?

私はこのサイトを見ています https://www.pcisecuritystandards.org/security_standards/index.php ここでどのドキュメントを読むべきですか?

29
001

1)はい、許可されていますが、非常にはお勧めしません。この情報をデータベースに保存すると、ハッカーにとって非常に魅力的な標的になります。そして、あなたがそれを守ることができると思うなら、もう一度考えてください。ハッカーは、優れたセキュリティを備えた企業のセキュリティを打ち負かしました。あなたのセキュリティはこれ以上良くなることはありません。

2)概説されているPCIルールに従う必要があります このガイドで 。しかし、あなたは このガイド 理解しやすいと思うかもしれません。知っておくべきことについては、14ページに進んでください。基本的には保存できますが、PCI基準に従って暗号化する必要があります。サーバーとネットワークも安全である必要があります。パズルのいずれかの部分がPCIに準拠していない場合、クレジットカード番号を保存することはできません。それは解決策としてほとんどの共有ホスティング会社を除外します。

45
John Conde

これは直接的な答えではなく、提案です。反対票を投じないでください。私はただ助けになりたいと思っています。 PCIコンプライアンスに関する多くの経験を積んだ後、可能な限り、システムにクレジットカード情報を持たないようにすることを強くお勧めします。

私たちが(大成功を収めて)使用したアプローチはトークン化です。あなたのためにあなたのクレジットカード情報を収集して保存するサービスがあります。 API呼び出しを行って、クレジットカードのプライマリアカウント番号を表すトークン(通常は何らかのハッシュ)を取得します。カードに請求する場合は、トークンとその他の取引の詳細を渡し、支払いを処理します。

プロセスに関する簡単な記事は次のとおりです。 http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

最近、これには多くのオプションがあります。

そのアプローチの詳細については、 Google検索:クレジットカードトークン化 を使用できます。

42
Eric Burcham

できますが、それは費用がかかります。

別のサービスまたは専用のDNSサーバーからDNSを提供する必要があります。

SQLServerデータベースを実行する専用サーバーだけが必要です。

PCI承認のソフトウェアを使用する必要があります。

データベースサーバーは、Webサーバーと同じデータセンター内にある必要があります。そうでないと、パフォーマンスが低下します。

したがって、PCIセキュアホストでサイトをホストするか、説明したようにサーバーをセットアップするのが最善です。

2
Vincent G