标签: php credit-card pci-dss pci-compliance
我们正在开发一个新的软件(实际上只是一个PHP脚本),它收集持卡人信息并将其存储在MySQL数据库中。显然,我们正在采取一切安全措施(防火墙,反病毒,SELinux,对机器的限制性访问),但我们正在努力了解我们需要采取哪些步骤才能将其投入使用。
由于客户是第4级商户(没有实际交易,只存储持卡人信息),我们需要进行哪些扫描才能找到?
显然我们需要扫描服务器/ IP,但是收集数据的php脚本呢?
答案 0 :(得分:4)
您的客户实际上并未执行交易这一事实不会影响其合规义务,因为PCI / DSS同样适用于卡数据存储,与事务处理相同,事实上,如果它们可归类为“服务提供商” “还有其他义务。
根据您与客户的关系以及您对软件进行分类的方式(服务/现成产品等),您可能还有PA-DSS下的额外义务,这些义务适用于付款开发商(仅包含存储空间) )软件,如果您销售符合PCI标准的产品,可以获得相当的硬核。
如果您查看规范V2的副本,列出了所有要求,6.6说明了您需要对面向公众的Web应用程序(“独立”代码审查或应用程序防火墙)执行的操作。 / p>