Tag: pci dss

存储信用卡详细信息: 我有一个业务需求，迫使我在短时间内存储客户的完整信用卡详细信息（号码，姓名，失效date，CVV2）。理由：如果客户打电话订购产品，并且他们的信用卡在现场被拒绝，您可能会失去销售。如果你把他们的细节，感谢他们的交易，然后发现卡被拒绝，你可以给他们打电话，他们更可能find另一种方式来支付产品。如果信用卡被接受，则清除订单中的详细信息。我无法改变这一点。现有的系统以明文forms存储信用卡详细信息，并且在我正在build造的新系统中replace这个我显然不会复制这个！那么我的问题就是如何在短时间内安全地存储信用卡。我显然想要一些encryption，但最好的办法是什么？环境：C＃，WinForms，SQL-Server。

付款处理器 – 如果我想在我的网站上接受信用卡，我需要知道什么？: 这个问题谈到了不同的支付处理器和他们的成本，但我正在寻找答案，如果我想要接受信用卡付款，我需要做什么？假设我需要为客户存储信用卡号码，所以依靠信用卡处理器做这个繁重的工作是不可能的。 PCI数据安全，显然是存储信用卡信息的标准，有一系列的一般要求，但是如何实现呢？像Visa这样的供应商有哪些最佳做法？我是否需要使用遥控器访问本机？从物理上保护它免于黑客在build筑物呢？或者甚至如果有人拿到了SQL Server数据文件的备份文件呢？备份呢？这些数据还有其他的实体拷贝吗？提示：如果您获得商家帐户，您应该谈判他们收取“交换加”而不是分层定价。通过分级定价，他们将根据使用什么types的Visa / MC向您收取不同的费率 – 即。他们更多地收取附有大奖的贺卡。交换加计费意味着您只需向处理器支付Visa / MC的费用，另外还要支付固定费用。（Amex和Discover将自己的费率直接付给商家，所以这个不适用于这些卡，你会发现Amex的利率在3％的范围内，Discover可以低至1％。 2％的范围）。这项服务应该为你做谈判（我没有用过，这不是一个广告，我不附属于该网站，但这项服务是非常需要的。）这篇博客文章提供了处理信用卡（特别是英国）的完整情况。也许我错误地说了这个问题，但是我正在寻找这样的提示：使用SecurID或eToken将额外的密码图层添加到物理盒子。确保箱子放在有物理锁或钥匙码组合的房间里。

如何正确做私钥pipe理: 是否有人获得实践经验或参考实施符合PCI DSS安全标准的密钥pipe理scheme？考虑到符合PCI DSS的公司数量，显然有相当多的实施，但试图find它们的细节是艰难的。当它下降到存储私人数据时，讨论通常停止在使用哪种encryptionalgorithm。之后，通常会有一个关于正确存储私钥的声明，但是没有讨论实际的方法来做这件事，或者像定期更换密钥或者提供应用程序的密钥之类的东西。具体而言，我对PCI DSS标准第3.5节和第3.6节的要求感兴趣。 3.5.2将密钥安全地保存在尽可能less的位置和表格中。 3.6.avalidation用于encryption持卡人数据的密钥是否存在密钥pipe理程序。注：关键pipe理的许多行业标准可以从各种资源中获得，包括NIST，可以在http://csrc.nist.govfind。 3.6.4validation密钥pipe理程序是否至less每年要求定期更换密钥。根据PCI DSS要求文件的build议，我已经看了NISTencryption出版物，但除了最近的encryption密钥pipe理研讨会logging之外，似乎没有太多的真正可实施的scheme或标准。至于我想做的事情不是：存储密码+盐作为authentication的一种方式， select一个强大的数据encryptionsymmtericalgorithm，避免首先存储私人数据。避免使用其他机制进行密钥pipe理：物理安全，数据库安全，龙和向导等。所有这些都是有效的担忧，但在这种情况下不是答案。我的要求的坚果和螺丝是在一个不同的SO问题。networkingdevise模式存储和检索敏感的每个用户的数据，但这一切都归结为密钥pipe理，因此这个更精致的问题。