2010-11-29 59 views
27

在數據庫中存儲信用卡號碼時遵循哪些PCI規則?儲存信用卡號碼 - PCI?

1)這是允許的嗎? 2)如果是這樣,我們必須遵循什麼規則?

我正在看這個網站https://www.pcisecuritystandards.org/security_standards/index.php 哪個文件應該在這裏閱讀?

+2

請嘗試搜索「pci compliance」的stackoverflow.com。你會得到更多的便宜貨。 – 2010-11-29 04:29:07

+1

即使允許,你是否真的*想要?與安全存放它們的頭痛相比,用戶不得不重新輸入它們的不便之處是很小的。而且我認爲大多數用戶不喜歡存儲他們的卡號的網站。 – CodesInChaos 2010-11-29 14:47:33

+0

如果您認爲您的安全性與亞馬遜等人一樣好,請將其存儲。這非常方便,它*使我更有可能購買。沒有真正回答你的問題,但我想我會說你的模型可以很好。 – johnny 2010-11-29 15:12:38

回答

44

1)是的,這是允許的,但非常,很氣餒。在數據庫中提供這些信息使您成爲黑客極具吸引力的目標。如果你認爲你可以保護它,再想一想。黑客已經擊敗了具有出色安全性的公司的安全。你的安全性不會更好。

2)您必須遵循概述in this guide的PCI規則。但你可能會發現this guide更容易理解。請轉到第14頁,瞭解您需要了解的內容。基本上你可以存儲它,但它必須根據PCI標準進行加密。您的服務器和網絡也必須安全。如果任何難題不符合PCI標準,則不能存儲信用卡號碼。這就排除了大多數共享託管公司作爲解決方案。

37

這不是一個直接的答案,而是一個建議。請不要低估;我只是想幫助。在PCI合規經驗豐富之後,我強烈建議您儘可能避免在系統上使用信用卡信息。

我們使用的方法(取得巨大成功)是Tokenization。有些服務會爲您收集和存儲您的信用卡信息。您可以通過API調用獲取令牌,通常是某種類型的散列,代表信用卡的主帳號。當你想要記賬時,你通過令牌和其他交易細節,然後他們處理付款。

這裏是關於過程的簡單文章: http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

有很多的選項,這這些天:

有關該方法的更多信息,可以使用Google Search: Credit Card Tokenization

2

你可以做但是很貴。

您需要有由其他服務或專用DNS服務器提供的DNS。

你需要有一個專門的服務器運行你的SQL Server數據庫,沒有別的。

您需要使用PCI認可的軟件。

您的數據庫服務器需要與您的Web服務器在同一個數據中心內,否則您的性能會很差。

因此,最好將您的站點託管在PCI安全主機上,或按照我所述設置您的服務器。