问题标签 [pci-compliance]

我们将使用一些具有安全链接的支付服务，支付表单数据将在其中发布（例如https://some-payment-gateway/securelink/sslpmt）我们的表单将包含支付到的所有必填字段完成： 1. 客户信息 2. 账单信息 3. 信用卡信息 我们的表格是否也应该托管在安全站点上？据我们了解，即使我们的网站不安全，例如： http://our-site/orderform.html 如果它包含：

<form method="post" action="https://some-payment-gateway/securelink/sslpmt"> ... </form>

表单字段将通过安全连接传输，不会泄露任何数据。我们是真的还是假的？

专注于买不起 PCI 兼容服务器的客户，我打算将信用卡信息限制为通过 SSL 发布到网关的表单条目。我不在我的客户共享服务器上存储 CC 信息。我的问题是关于使用服务器控件的 ASP.NET Web 表单，以及表单信息是否以任何方式通过我的客户端共享且可能不安全的服务器运行，只需使用带有 runat=server 的表单元素。在这种形式中，我使用纯 html 输入元素来收集 CC#、CVV# 和到期日期，但提交元素使用 runat=server，因为我在代码后面有逻辑，如果不满足条件，它会限制按钮的可见性.

We have never transmitted, processed or stored credit card information in the past as we did everything via PayPal so we never needed to be PCI compliant.

However, we are launching a new online store and by having a seamless checkout where credit card information in processed without redirected to PayPal, we need PCI compliance now.

We are going to consult a Qualified Security Assessor Company to guide us through getting and maintaining PCI compliance. However, I wanted to get a decent idea of what i'm looking at before consulting them, before they try to sell you every service in the house that you may not need.

In terms of PCI compliance, I understand it needs to be done on the software and hardware level and meet the 12 points + required. We are going with Magento Professional as it has a PCI compliant payment system, and we are going with a PCI compliant web hosting company (dedicated server). But in terms of software, do you need PCI compliance on EVERYTHING? Or just the software that transmits, store and processes credit card information?

For example, according to Magento, the Payment Software is PCI compliant, while the Magento Platform is not. So this allows you to make changes, modifications and customisations to Magento without affecting the PCI compliance of the payment software.

In other words, i'm asking, do you only need PCI compliance on the source code/software that deals with transmitting, processing and storing credit card information? These 'Qualified Security Assessor Companies' give the impression that all source code needs to be checked for PCI compliance, which is impossible!

For example, in the case of Magento, can I make changes and modifications to it and still remain PCI compliant? So long as the payment module is untouched since it is PCI compliant and the web hosting, server and OS is PCI compliant?

I mean the php, javascript, mysql stuff that does not deal with credit cards don't need to be compliant do they? they will be on the same server of course.

我们正在进行 PCI 合规性检查，并且我们的外部名称服务器（所有 Windows Server 2008 R2）已被 Nessus 插件 ID：35450（下文详述）击中。虽然这是一个低严重性的打击，但我在标题中看到了 DDoS，我吓坏了。

插件 ID：35450 名称：DNS 服务器欺骗请求放大 DDoS 概要：远程 DNS 服务器可用于分布式拒绝服务攻击。插件输出：DNS 查询长 17 字节，答案长 449 字节。

我用谷歌搜索了这一切无济于事。如果您有任何建议，请回复。

我确实找到了测试方法（如下），但在任何缓解步骤上都没有运气......

在 Linux 上：挖掘 . NS @
[例如：挖掘。NS@192.168.1.1]

或在网上：http: //isc1.sans.org/dnstest.html

哪些（开源）工具可用于扫描 SQL 数据库/文件系统等系统以获取持卡人数据？到目前为止，我们已经找到了 PANBuster、7seec 和 PANscan，并且想知道是否还有更多（最好是开源的）。

由于以下问题，我在本季度难以满足 PCI-DSS 合规性要求。

当您在浏览器中键入以下内容时...

...它响应，因此，由于某种我无法确定的原因，浏览器地址栏中的 URL 更改为以下内容：

您可以看到原始 URL 中的一些转义字符已被非转义字符替换。

我给出的原因是当服务器响应时，无论它如何响应，FireFox 都会自动重新格式化地址栏中的 URL，以使其更具可读性。我告诉他们我对此无能为力。但是，公平地说，他们反驳说，如果您尝试以下 URL...

...当 Google 服务器响应时，浏览器不会更改 URL，它保持不变：

他们说得有道理。

那么到底发生了什么？我已经缩小了问题的范围，如果我只是请求一个空的文本文件，但在它之后附加一些无意义的查询......

...瞧，当我的本地服务器响应时，它会被重写：

http://localhost/http.mygarble.com/hello.txt?displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22

我已经通过 Fiddler 运行了这个，看不到任何不愉快的地方，我已经关闭了重写引擎。我正在运行 Apache。

更令人困惑的是，不同的浏览器响应不同。打字...

...进入 Chrome 产生：

http://localhost/http.mygarble.com/hello.txt?displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22

进入 IE，URL 保持不变。在 Opera 中，除非您单击地址栏，否则查询字符串会被删除，这让我相信浏览器会在响应时自动更改地址栏中的 URL，以使它们更具可读性。Safari 和 IE 一样，只保留 URL。

我现在要检查谷歌的回复以寻找线索。是否有一些 HTTP 指令指示浏览器不要干预 URL 响应。

非常感谢任何帮助！

亲切的问候，

詹姆士

PCI DSS 合规性是否禁止开发人员在其 PC 上拥有本地管理员权限？

我有一个 iMag PCI 读卡器和一个与之配套的 SDK。话虽如此，我是一个相当新手的 iOS 开发人员，所以 SDK 对我来说并不完全清楚。

我的项目目标是这样的；PCI 读卡器连接到 iPad - 该应用程序具有多个用于数据输入的文本字段，包括名称字段。为了加快登录和注销过程，以及增加安全感（我在数据中心工作），我希望让读卡器刷政府颁发的 ID（州许可证），并存储 - 只是名称 -在文本字段中。这确保了我们数据库中的信息是准确的，并且“你就是你所说的那个人”。自动时间戳也是一个优点。

随后，用户手动输入其他文本字段，例如“访问原因”。登录时间在提交到数据库时存储。要注销，用户只需在应用程序中选择一个不同的视图，刷一下他们的 ID，然后就可以退出了。

注意事项 - 同时存在完全相同名称的人可能会导致问题，但我真的没有看到这种情况发生:-)

-- 过去有没有人完成过类似的项目？总共，该应用程序应该有大约 4 个视图，以及简单的图片/文本/和一些文本输入表单。

我想弄清楚的是我存储在文本字段中输入的数据的方法，然后将其卸载到数据库，然后注销将直接影响我的应用程序如何从中提取用户名许可证。还是从开发的角度来看是完全独立的，可以独立处理？

任何帮助或建议将不胜感激。我做了一些论坛搜索，PCI读卡器似乎是一个相当分散的市场，所以我不知道是否有很多人熟悉iMag，或者我收到的SDK。

谢谢，

查理

我一直在查看 authorize.net，尤其是他们的 CIM 和 DPM 解决方案。问题是我不能只在 DPM 中引用 CIM 配置文件。对于不使用 authorize.net 的人，基本上 authorize.net 管理我用户存储的信用卡（在他们的网站上），但我不能使用他们存储的信用卡的 ID 通过 DPM 进行付款，我必须从他们的服务器中检索该信息，并在另一个请求中将其传递回给他们。这一行为迫使我遵守 PCI（因为我已经处理了信用卡号）。

我的问题是：是否有其他提供商允许我使用类似于 authorize.net 但允许我的网站永远不会触及信用卡/运输信息的东西？

我们正在使用 Liferay 构建一个客户门户。需要一些portlet 来收集财务信息。门户的主机环境不符合 PCI (http://www.pcicomplianceguide.org/pcifaqs.php)。由于处理财务信息时的 PCI 合规性是一项要求，我们必须找到一种机制来使这些 portlet 符合 PCI 合规性。我们正在考虑两种基本选择： 1. 使门户的主机环境符合 PCI 2. 在门户的主机环境之外使用符合 PCI 的主机环境托管需要 PCI 合规的功能（这似乎是最不痛苦的路线）

我必须提出相关问题： 1. 有没有更好的选择我们没有考虑 2. 关于上面的选项 2，我找不到任何关于实施它的推荐方法的参考资料。有人可以推荐一个技术解决方案或向我推荐一个吗？

谢谢，罗德里戈·西尔维拉