我有幾個關於PCI合規性的問題

Question

我正在查看商戶帳戶，並且據我所知，存儲送貨地址對於PCI合規性來說沒問題，這是真的嗎？此外，它似乎Recurly的API將需要SAQ C或SAQ d，我看了一些例題：

• 做配置標準包括防火牆要求在 各互聯網連接以及任何非軍事區（DMZ）和 之間內部網絡區域？
• 是否有批准和測試所有外部網絡連接以及更改防火牆和路由器配置的正式流程？

我的意思是，我想NO對大多數人來說。 PCI合規性只適用於成熟的公司嗎？我相信很多人都希望無縫結賬，並且肯定有一些服務可以避免PCI合規性，那麼爲什麼要獲得商家帳戶？這值得額外的努力嗎？我的意思是，看到這些樣本問題已經看起來像一個巨大的麻煩。

Answer 1

PCI compliance is required for any merchant that accepts credit cards。

你好得多與專門的PCI合規性公司而言。無論如何，您可能需要聘請審覈員來驗證您的合規性級別。我認爲這是一個完整答案的錯誤論壇。

然而，解決您的一些點：

• 存放送貨地址沒有被禁止PCI。大多數購物車都這樣做。
  • 但是，作爲一個客戶我會很感激，如果存儲我的地址商家把它當作有價值的敏感信息，並保護它，彷彿它是信用卡數據或社會安全號碼。
• DMZ /防火牆配置對於該網站是完全偏離主題的，但總的來說，是的。
• 貴公司/企業應該有測試/驗證/文檔自己的正式程序，你會被要求證明你有這個（由它給你的審計師），也證明你跟着它（放映變化票證請求綁配置更改，或任何在您的情況適用）

而且，要記住，PCI合規性應考慮的良好的安全實踐最低限度。符合PCI標準並不意味着您很安全。這意味着你符合這個特定的標準。 PCI標準的公司

大量被破壞，失去了關鍵/敏感數據，包括導致他們的客戶/員工得到他們的身份被盜的類型。

幾年前，當我們開始審覈時，這是一個令人大開眼界，在我們睜大眼睛之後，我們整合了一個安全開發生命週期，需要大量的培訓，並且隨着時間的推移學會了PCI合規性只是一個開始。有那麼多，PCI不包括在內。

無論如何，我會開始here，然後確定你需要什麼級別的所在。

至於它是一個巨大的麻煩，你是對的...

良好的安全性是一件麻煩事。它需要乏味的細節。你不只是出去編寫代碼，而是做威脅建模，代碼評論，滲透測試。你的整個過程應該被記錄下來，從需求收集到發佈的每一步都要考慮到安全問題。你應該考慮分離關注點，以確保沒有任何一個流氓開發者可以感染你的網站，如果他或她變得不滿，或者系統管理員不能鎖定所有東西並退出（就像加利福尼亞的一個城市發生的事情不是太多年前）。

如果你需要任何保護，你必須得到的細節數量是瘋狂的，然後你仍然必須忍受不能達到100％無懈可擊的事實。

而這只是一個開始。

它增加了很多開銷，這是一件麻煩事。

但是，這個巨大的麻煩是值得的。當你考慮被違反的成本時，不僅對你，而且對你的客戶，商業夥伴等。