0
基本上我正在處理信用卡的網站。 但是,當交易/費用被放置時,我想將關於信用卡的信息存儲在數據庫中。這是存儲信用卡的安全方式嗎?
現在,我一直在考慮存儲前4位和後4位數字以及失效日期。 但我不會將它存儲在計劃文本中,我創建了我自己的加密方法。
那夠安全嗎?
A
回答
0
從PCI Compliancy的角度來看,只存儲前四個,後四個以純文本很好。 PCI實際上允許前六位數字(稱爲IIN或頒發者標識符範圍)的明文存儲和最後四位數字(最後一位數字是校驗和)。
這些與打印收據的標準類似,允許打印前六位和後三位數字。
你的問題可以理解地敲響警鐘。如果您(或您的系統)可以訪問完整的卡號,那麼您處於PCI-DSS的範圍內。監視和維護合規性可能非常耗時且成本高昂,尤其是在您的合規性必須由第三方QSA(合格安全評估機構)進行驗證的情況下。
那麼更好的方法是使用已經符合PCI標準的支付網關。他們將能夠執行卡授權/結算,並返回給您一個令牌ID和/或可以安全存儲在數據庫中的卡號散列。
4
它足夠安全嗎?讓我想想。嗯,我希望您考慮過去幾年發生的大量數據泄露事件,從人們認爲安全的站點開始。如果你喜歡這個網站,或者別忘了登錄你的用戶信息,登錄註冊時,您可以通過編輯或修改信息的形式鏈接到其他網站。從here:
此外,這是不可能的自產自銷的加密會站起來,決定攻擊。
但是真正的問題是:你爲什麼需要的信息?這些信息確實屬於卡的所有者,任何存儲該卡的網站都會降低該用戶的安全。如果你需要知道他們使用了多少個不同的卡片,可以爲客戶使用不同的標識符併爲卡片號碼存儲不可逆的哈希值。雖然散列會在卡號的整個搜索空間中發生衝突,但單個客戶內發生衝突的可能性要小得多。
您可能還會發現,立法會限制您可以存儲的內容,具體取決於您的管轄權。
+0
[你自己的電腦?](http ://en.wikipedia.org/wiki/_NSAKEY) –
+0
@paxdiablo +1 .. – Jonnny
+0
但是,這些網站/公司商店是否填寫信用卡號碼?不僅僅是信用卡號碼的一部分? –
相關問題
- 1. 這是一個安全的方式來存儲我的密碼?
- 2. HTML5本地存儲對信用卡信息的安全影響
- 3. PayPal存儲庫 - 安全發送信用卡信息
- 4. 在android上存儲creadit卡信息是否安全?
- 5. 緩存安全信息安全嗎?
- 6. 第三方存儲信用卡信息?
- 7. 存儲安全信息以進一步使用的最佳方式是什麼?
- 8. PHP:安全的方式來存儲信息到cookie?
- 9. Drupal的信用卡安全
- 10. ObjectOutputStream:這是安全的嗎?
- 11. PHP:這是安全的嗎?
- 12. 什麼是存儲Paypal專用密碼的安全方式? (PHP)
- 13. 爲了接收付款目的,僅存儲信用卡號碼是否安全?
- 14. 這是存儲網站跟蹤信息的正確方法嗎?
- 15. 關於存儲信用卡詳細信息的安全模型的思考
- 16. 這是登錄某人的適當/安全的方式嗎?
- 17. 最安全的信用卡處理方式
- 18. 這是保存上傳文件的安全方法嗎?
- 19. 這是一種安全的方式來執行線程嗎?
- 20. 線程安全事件 - 這是一種「乾淨」的方式嗎?
- 21. 這是設計程序的安全方式嗎?
- 22. 這是設置令牌CSRF的安全方式嗎?
- 23. 用PHP是這種引用數據庫信息安全的方法嗎?
- 24. 信用卡存儲解決方案
- 25. 這是MySQLi安全嗎?
- 26. 是org.springframework.web.multipart.commons.CommonsMultipartFile#transferTo()方法內存安全嗎?
- 27. Rails + Sessions:安全地在會話中存儲部分信用卡信息?
- 28. 什麼是安全存儲密碼(散列)的最佳方式
- 29. 這種方法使用安全嗎?
- 30. 這是安全使用不安全的協議嗎?
爲什麼不使用類似條紋的東西,將pci-compliance取出。 – Jonnny
你的加密方法有多好? – paddy
要做的最好的事情只是一輪MD5,然後是2ROT13。如果你想更安全,你可以使用_2_ MD5 + 4ROT13。 –