https,ssl和pci dss合规性之间的差异

时间:2016-11-29 16:15:27

标签: ssl https pci-compliance

你好有人描述我。我总是很困惑。 HTTPS SSL PCI合规性之间有什么区别。

HTTPS如何工作?

SSL如何工作?

PCI如何工作?

2 个答案:

答案 0 :(得分:1)

SSL已被Transport Layer Security(TLS)取代,它基本上是一组加密协议,用于确保从客户端端点(例如Web浏览器)到服务器的私密通信。除了私人通信,当正确实施时,它还包括客户端和服务器的相互认证(即,客户端验证它与其认为与之通信的服务器进行通信,并且服务器验证客户端真的是他们声称自己是谁)和某种篡改抵抗;这些是为了防止man-in-the-middle attacks并提供对replay attacks的部分辩护。

HTTPS仅表示您使用HTTP over TLS或SSL。

正如我在评论中所描述的那样,PCI标准与SSL或HTTPS非常不同。 PCI标准就是 - 数据安全的标准,而不是特定的网络或加密协议。

以下是PCI合规性的含义(来自PCI Compliance Guide FAQ):

  

支付卡行业数据安全标准(PCI DSS)是一套   安全标准旨在确保所有接受的公司,   处理,存储或传输信用卡信息保持安全   环境。

值得注意的是,PCI合规性(以及一般的软件安全性)不仅仅是安全的数据交换。事实上,我链接到上面的常见问题解答具体说明;回答问题"如果我有SSL证书,我是否符合PCI标准?"他们说以下内容:

  

没有。 SSL证书不保护Web服务器免受恶意攻击   或入侵。高保证SSL证书提供第一层   客户安全和保证...但还有其他步骤   实现PCI合规性。

您必须考虑数据安全性的其他一些示例:

  • 您是否在服务器上正确存储了密码和其他敏感数据(例如腌制等)?
  • 您是否有足够的网络安全性(例如防火墙)? (请注意,正如我在下面链接的书中所描述的那样,即使这样,您也不应该假设只有防火墙才能完全防御安全问题。)
  • 你有足够的身体安全吗?例如,某人走进您的服务器机房并获得对服务器的访问权限是多么可行?您是否必须扫描徽章才能进入服务器机房,并且只能访问授权员工?
  • 您是否使用least permissions运行代码?
  • 代码是否经过审核并针对buffer overrunsinteger overflows等常见安全漏洞进行了测试?

那里有一本名为24 Deadly Sins of Software Security的优秀书籍,描述了常见的安全漏洞。

答案 1 :(得分:1)

SSL

定义: SSL(安全套接字层)是一种安全协议,通常用于E-Comm等环境,Verisign等用于在Web事务期间保护个人身份信息,以及其他敏感数据,如信用卡号码和登录。通常需要在Web服务器上购买并安装SSL证书。

更多阅读:https://www.globalsign.com/en/ssl-information-center/what-is-an-ssl-certificate/

HTTPS

定义: HTTPS是HTTP + SSL证书。

HTTPS(安全超文本传输​​协议)是HTTP的安全版本。 " S"意味着通过浏览器发送的所有数据都是加密的。 示例: Google搜索

<强> PCI

定义: PCI DSS合规性支付卡行业数据安全标准是信用卡支付的全球数据安全标准。我同意&#34;实施像SSL和#34;这样的PCL是没有意义的。 PCI合规性管理从硬件(读卡器或销售点)到支付网关的所有内容。使用已经符合PCI标准的支付处理器要容易得多,因为独立地遵守标准可能不值得花时间。 Square有一个基本指南:https://squareup.com/guides/pci-compliance