你好有人描述我。我总是很困惑。 HTTPS , SSL 和 PCI合规性之间有什么区别。
HTTPS如何工作?
SSL如何工作?
PCI如何工作?
答案 0 :(得分:1)
SSL已被Transport Layer Security(TLS)取代,它基本上是一组加密协议,用于确保从客户端端点(例如Web浏览器)到服务器的私密通信。除了私人通信,当正确实施时,它还包括客户端和服务器的相互认证(即,客户端验证它与其认为与之通信的服务器进行通信,并且服务器验证客户端真的是他们声称自己是谁)和某种篡改抵抗;这些是为了防止man-in-the-middle attacks并提供对replay attacks的部分辩护。
HTTPS仅表示您使用HTTP over TLS或SSL。
正如我在评论中所描述的那样,PCI标准与SSL或HTTPS非常不同。 PCI标准就是 - 数据安全的标准,而不是特定的网络或加密协议。
以下是PCI合规性的含义(来自PCI Compliance Guide FAQ):
支付卡行业数据安全标准(PCI DSS)是一套 安全标准旨在确保所有接受的公司, 处理,存储或传输信用卡信息保持安全 环境。
值得注意的是,PCI合规性(以及一般的软件安全性)不仅仅是安全的数据交换。事实上,我链接到上面的常见问题解答具体说明;回答问题"如果我有SSL证书,我是否符合PCI标准?"他们说以下内容:
没有。 SSL证书不保护Web服务器免受恶意攻击 或入侵。高保证SSL证书提供第一层 客户安全和保证...但还有其他步骤 实现PCI合规性。
您必须考虑数据安全性的其他一些示例:
那里有一本名为24 Deadly Sins of Software Security的优秀书籍,描述了常见的安全漏洞。
答案 1 :(得分:1)
定义: SSL(安全套接字层)是一种安全协议,通常用于E-Comm等环境,Verisign等用于在Web事务期间保护个人身份信息,以及其他敏感数据,如信用卡号码和登录。通常需要在Web服务器上购买并安装SSL证书。
更多阅读:https://www.globalsign.com/en/ssl-information-center/what-is-an-ssl-certificate/
定义: HTTPS是HTTP + SSL证书。
HTTPS(安全超文本传输协议)是HTTP的安全版本。 " S"意味着通过浏览器发送的所有数据都是加密的。 示例: Google搜索
定义: PCI DSS合规性支付卡行业数据安全标准是信用卡支付的全球数据安全标准。我同意"实施像SSL和#34;这样的PCL是没有意义的。 PCI合规性管理从硬件(读卡器或销售点)到支付网关的所有内容。使用已经符合PCI标准的支付处理器要容易得多,因为独立地遵守标准可能不值得花时间。 Square有一个基本指南:https://squareup.com/guides/pci-compliance