我对PCI合规性有几个问题

时间:2012-07-05 21:34:35

标签: pci-dss

我正在查看商家帐户,根据我的理解,存储送货地址对于PCI合规性是可以的,这是真的吗?此外,似乎Recurly的API需要SAQ C或SAQ D,我查看了一些示例问题:

  • 配置标准是否包含防火墙的要求 每个互联网连接以及任何非军事区(DMZ)和 内部网络区?
  • 是否有批准和测试所有外部网络连接以及防火墙和路由器配置更改的正式流程?

我的意思是,我认为大多数人都不会。 PCI合规性是否仅适用于成熟公司?我相信很多人都希望无缝结账,并且肯定有一些服务可以避免PCI合规性,那么为什么要获得商家帐户呢?值得付出额外的努力吗?我的意思是,看到这些示例问题就像是一个巨大的麻烦。

1 个答案:

答案 0 :(得分:5)

PCI compliance is required for any merchant that accepts credit cards

与专注于PCI合规性的公司谈话,你会好得多。您可能需要聘请审核员来验证您的合规水平。我认为这是一个完整答案的错误论坛。

然而,解决你的一些观点:

  • PCI不禁止存储送货地址。大多数购物车都这样做。
    • 但是,作为客户,如果存储我的地址的企业将其视为有价值的敏感信息,并将其保护为信用卡数据或社会安全号码,我将非常感激。
  • DMZ /防火墙配置完全偏离网站,但总的来说,是的。
  • 您的公司/企业应该有自己的正式测试/验证/文档流程,并且您需要证明您拥有此(通过提供给您的审核员)并证明您遵循它(显示更改)与配置更改相关的票证请求,或者适用于您的情况的任何内容)

另外,请记住,PCI合规性应被视为良好安全措施的 > 。符合PCI标准并不意味着您是安全的。这意味着您符合这一特定标准。

许多符合PCI标准的公司遭到破坏,并且丢失了关键/敏感数据,包括导致其客户/员工窃取其身份的类型。

当我们几年前开始进行审核时,它是一个大开眼界,在我们睁开眼睛之后,我们整合了安全开发生命周期,需要大量的培训,并且随着时间的推移学习PCI合规性只是一个开始。 PCI没有涵盖那么多。

无论如何,我会开始here,然后确定你需要达到的等级。

至于这是一个巨大的麻烦,你是对的......

良好的安全性是一件麻烦事。它需要对细节进行繁琐的关注。您不仅要编写代码,还要进行威胁建模,代码审查和渗透测试。应记录整个流程,并在需求收集到发布的每个步骤中解决安全问题。您应该考虑分离关注点,以确保没有一个流氓开发者可以感染您的网站,如果他或她变得心怀不满,或者SysAdmin无法锁定所有内容并退出(就像在加利福尼亚的一个城市发生的那样多年没有前)。

如果您需要任何保护,您必须达到的细节数量是疯狂的,然后您仍然必须忍受这样一个事实:您永远无法达到100%无懈可击。

而这仅仅是个开始。

它增加了很多开销,这很麻烦。

但是那个巨大的麻烦是值得的。当您考虑违反的成本时,不仅是对您,而且对您的客户,业务合作伙伴等。