Quelles sont les règles PCI à suivre pour stocker les numéros de cartes de crédit dans une base de données?Enregistrement du numéro de carte de crédit - PCI?
1) est-ce autorisé? 2) si oui, quelles règles devons-nous suivre?
En regardant ce site https://www.pcisecuritystandards.org/security_standards/index.php quel document dois-je lire ici?
1) Oui, c'est permis mais très, très déconseillé. Avoir cette information dans votre base de données fait de vous une cible extrêmement attrayante pour les pirates. Et si vous pensez pouvoir le protéger, détrompez-vous. Les pirates ont défait la sécurité des entreprises avec une excellente sécurité. Votre sécurité ne sera pas meilleure.
2) Vous devez suivre les règles PCI décrites in this guide. Mais vous pouvez trouver this guide plus facile à comprendre. Allez à la page 14 pour savoir ce que vous devez savoir. Fondamentalement, vous pouvez le stocker mais il doit être crypté selon les normes PCI. Votre serveur et votre réseau doivent également être sécurisés. Si une pièce du puzzle n'est pas conforme à la norme PCI, vous ne pouvez pas stocker les numéros de carte de crédit. Cela exclut la plupart des sociétés d'hébergement mutualisées comme solution.
+1. Je voulais juste commenter si le cryptage est le bit facile, et toute personne voulant s'attaquer à cela ne devrait pas sous-estimer les difficultés avec le chiffrement Key Management. – PaulG
merci John Conde – 001
Si vous allez stocker des numéros de carte de crédit, vous devez également être concerné par tous les types d'accès au serveur, y compris physique. J'ai fait des opérations pour des serveurs conformes PCI dans une grande entreprise et nous avons fait ce qui suit: les numéros CC étaient cryptés (bien sûr), l'accès au serveur de base de données était limité aux adresses IP des serveurs web et aux adresses IP Je ne pouvais pas me connecter à la maison ou même à un bâtiment différent), et le serveur était dans une cage verrouillée (il y avait littéralement une chaîne et un verrou dessus). Même si je suis entré dans le DC, je n'ai pas pu accéder à la machine. –
Ceci n'est pas une réponse directe, mais une suggestion. S'il vous plaît ne pas downvote; J'essaie juste d'être utile. Après beaucoup d'expérience avec la conformité PCI, je vous suggère fortement d'éviter d'avoir des informations de carte de crédit sur vos systèmes si possible.
L'approche que nous avons utilisée (avec beaucoup de succès) est la Tokenization. Il existe des services qui collectent et stockent les informations de votre carte de crédit pour vous. Vous effectuez un appel d'API pour obtenir un jeton, généralement un hachage, qui représente le numéro de compte principal de la carte de crédit. Lorsque vous souhaitez facturer la carte, vous transmettez le jeton et les autres détails de la transaction, et ils traitent le paiement.
Voici un article simple sur le processus: http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php
Il y a beaucoup d'options pour cette ces jours-ci:
Pour plus d'informations sur cette approche, vous pouvez utiliser le Google Search: Credit Card Tokenization.
Ce n'est pas une réponse directe, mais à mon humble avis a une grande valeur comme une approche alternative. +1 – Fabio
@FAbio Gouw - Merci. –
J'ai ajouté Adyen à la liste des fournisseurs de paiement de Tokenization Décembre 2106. Je ne les ai pas utilisés personnellement, mais j'ai remarqué dans mon compte JetBrains aujourd'hui que c'est ce que JetBrains utilise. En tant que l'un des meilleurs fournisseurs d'outils de développement (IMHO), j'assumerais qu'ils ont correctement évalué Adyen pour la sécurité. –
Vous pouvez mais c'est cher à faire.
DNS doit être fourni par un autre service ou un serveur DNS dédié.
Vous devez avoir un serveur dédié exécutant votre base de données SQL Server et rien d'autre.
Vous devez utiliser un logiciel approuvé par PCI.
Votre serveur de base de données doit se trouver dans le même centre de données que votre serveur Web, sinon vos performances seront médiocres. Il est donc préférable d'héberger votre site sur un hôte sécurisé PCI ou de configurer vos serveurs comme je l'ai décrit.
Essayez de rechercher stackoverflow.com pour "conformité pci". Vous obtiendrez plus qu'une bonne affaire. –
Voulez-vous * vraiment * le faire, même si c'est autorisé? L'inconvénient des utilisateurs ayant à les entrer à nouveau est faible par rapport aux maux de tête les stockant en toute sécurité. Et je pense que la plupart des utilisateurs n'aiment pas non plus les sites Web stockant leur numéro de carte. – CodesInChaos
Si vous croyez que votre sécurité est aussi bonne que quelqu'un comme Amazon, enregistrez-la. C'est très pratique et cela * me * rend plus susceptible d'acheter. Ne répond pas vraiment à ta question mais je pensais que ton modèle pourrait être bon. – johnny