我们必须确保此临时数据是持久的,并且删除符合DoD的安全标准(擦除磁盘上的数据/避免磁盘上的存储)。
我想将使用RIJNDAEL 256算法加密的数据+精心设计的秘密存储到内存缓存中,但我担心数据丢失/损坏。
我还想到了MySQL和内存堆存储引擎,但到目前为止我还不知道它的可靠性。
关于这个问题的任何想法?
答案 0 :(得分:4)
这可能比你期望的更麻烦。只要您将卡详细信息保存到磁盘,PCI-DSS的全部重量都会对您造成影响。这意味着您的整个网络(实际上是公司)都受到密切关注,以确保其安全并遵循强大的最佳实践建议。
使用AES(256位Rijndael)是朝着正确方向迈出的一步,但与组织PCI兼容密钥管理系统的难度相比,实际加密是微不足道的。键必须拆分(双重知识),不能与数据存储在同一个盒子上,必须至少每年旋转一次,依此类推。 Getting key management right is challenging
但最终,您需要证明您提出的任何解决方案都符合PCI标准。您通过注册QSA(合格安全评估员)的协助来证明您的合规性。最好的建议是现在引入QSA,以便他们可以就采取何种方法提出建议,并在必要时引导您解决陷阱。
项目完成后引入QSA是一种虚假经济,因为如果他们的解决方案失败,你就会重新开始。
答案 1 :(得分:0)
存储卡数据绝对必要吗?有供应商(例如Braintree)将处理卡而不要求您的网站存储卡信息,从而减轻您的PCI负担。