我目前正在开展该项目,其功能之一是电子商务,以便我们的系统能够处理用户信用卡信息和其他凭据信息的安全性。
我知道任何处理用户支付卡信息的网络服务都应遵循PCI合规性(支付卡信息数据安全标准)。作为一名前端开发人员,我需要弄清楚我应该关注哪些PCI DSS并需要学习。
有任何建议,参考或建议吗?
感谢您的帮助
答案 0 :(得分:3)
PCI-DSS非常复杂,但简而言之:要遵循的大多数规则都要考虑后端处理和存储。关于前端的要点之一是要求3.3:
显示时屏蔽PAN(前六位和后四位是 您可以显示的最大位数),以便仅授权 有合法业务需求的人可以看到比第一个更多的人 PAN的六个/最后四个数字。这并不能取代更严格的规定 可能适用于显示持卡人数据的要求, 例如在销售点收据上。
但我认为在前端这样做是不错的主意。最好将已经屏蔽的数据发送到前端,因为客户端上的所有内容都可以被操作(例如,您通过javascript屏蔽了卡号,但在页面源中可以找到整个数字)。
当然还有4:
4.1使用强大的加密和安全协议来保护敏感的持卡人数据,以便在公开,公开的传输过程中传输 网络(例如互联网,无线技术,蜂窝技术, 通用分组无线业务[GPRS],卫星通信)。确保 无线网络传输持卡人数据或连接到 持卡人数据环境使用行业最佳实践来实施 用于身份验证和传输的强加密。 (哪里 使用SSL /早期TLS,PCI DSS附录A2中的要求必须是 完成。)
4.2永远不要通过最终用户消息传递技术发送不受保护的PAN(例如,电子邮件,即时消息,短信,聊天等)。
4.3确保相关的安全策略和操作程序已记录在案,正在使用中,并为所有相关方所知。
请务必使用强传输层加密(TLS 1.2)并仅允许安全密码,以便嗅探网络的人无法读取从前端传输到后端的数据。 您应该知道前端的所有保护工作都可能被脏PC破坏,这意味着PC被木马和其他恶意软件感染。这主要由要求5涵盖。
5.1在通常受恶意软件影响的所有系统(特别是个人计算机和服务器)上部署防病毒软件。对于 系统不受恶意软件影响,定期执行 评估以评估不断变化的恶意软件威胁并确认是否存在 此类系统仍然不需要防病毒软件。
5.2确保所有防病毒机制保持最新,执行定期扫描,生成审核日志,这些日志按PCI DSS保留 要求10.7。
5.3确保防病毒机制正在运行,用户无法禁用或更改,除非得到特别授权 在有限的时间内逐案管理。
5.4确保相关的安全策略和操作程序已记录在案,正在使用中,并为所有相关方所知。
最后:确保您在必要时让您的申请得到证明。
答案 1 :(得分:0)
如果您有连接到浏览器的任何类型的设备,例如蓝牙或无线扫描仪,qr阅读器,刷卡器等,则不符合严格的PCI标准。即使是连接这两者的简单USB电缆,也需要在设备上对在设备上捕获的数据进行加密。