在数据库中存储信用卡号码需遵循哪些PCI规则?
1)这是允许的吗? 2)如果是这样,我们必须遵循哪些规则?
我在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件?
答案 0 :(得分:45)
1)是的,允许,但 非常非常 不鼓励。在您的数据库中拥有此信息使您成为黑客极具吸引力的目标。如果您认为可以保护它,请再想一想。黑客已经破坏了具有出色安全性的公司的安全性。你的安全性不会更好。
2)您必须遵循in this guide概述的PCI规则。但您可能会发现this guide更容易理解。转到第14页了解您需要了解的内容。基本上你可以存储它,但它必须根据PCI标准加密。您的服务器和网络也必须是安全的。如果拼图的任何部分不符合PCI,则无法存储信用卡号。这排除了大多数共享托管公司的解决方案。
答案 1 :(得分:2)
你可以,但这样做很贵。
您需要由其他服务或专用DNS服务器提供DNS。
您需要有一台运行SQL Server数据库的专用服务器,而不需要其他服务器。
您需要使用PCI认可的软件。
您的数据库服务器需要与Web服务器位于同一数据中心内,否则您的性能会很差。
因此,最好是在PCI安全主机上托管您的网站,或按我的描述设置您的服务器。