3
當使用Jasypt的StandardPBEStringEncryptor時,我們必須在spring bean配置文件中明確地設置密碼。在bean配置文件中保存密碼是否安全? PCI合規性存儲加密密碼會有問題嗎?Jasypt StandardPBEStringEncryptor在Spring配置文件中設置密碼
A
回答
1
This will not be PCI compliant。數據加密密鑰不能以明文形式存儲。該特定點是3.5.2它是:
檢查系統配置文件來 驗證密鑰存儲在加密 格式,並且 密鑰加密密鑰是從數據加密密鑰分開存儲 。
你可能也有圍繞重點管理區的其他問題,如3.6.6(拆分知識和按鍵雙重控制)
驗證密鑰管理程序 實施要求分裂 知識和密鑰的雙重控制 (例如,需要兩個或三個人,每個人只知道自己的 部分的關鍵,重建整個密鑰 )。
Key management是PCI合規性的最具挑戰性的部分。您可能需要考慮使用(已經是PCI標準的)第三方來管理您的卡數據。如果你自己動手,那麼我會建議你儘早帶領QSA(PCI合格安全評估員)協助評估你計劃實施的安全性。最終它將是QSA,你需要說服爲了通過你的PCI要求,他們將非常樂意提供建議。
0
您需要將對稱密鑰存儲在某處。配置文件是一個很好的地方,只要沒有人能夠訪問它。
相關問題
- 1. 爲什麼在加密文本時使用jasypt設置密碼?
- 2. Spring配置文件
- 3. Jasypt加密不與Maven配置文件配合使用
- 4. Spring Data Redis:設置密碼
- 5. 使用WebPBEConfigServlet的jasypt web配置 - 密碼存儲在哪裏?
- 6. spring 3.1設置配置文件
- 7. 如何在Android 5.0中使用受管配置文件設置設備密碼
- 8. 從Spring設置LDAP中的SSHA密碼
- 9. 爲託管配置文件設置了不同的密碼
- 10. 瞭解密碼配置文件的設置
- 11. Spring配置文件
- 12. 加密/解密存儲在配置文件中的密碼
- 13. 在spring配置文件中設置資源
- 14. Spring Boot在環境中設置活動配置文件
- 15. Spring 3.1配置文件:如何在Stackato Tomcat容器中設置
- 16. 在Spring MVC中設置環境/配置文件
- 17. Spring YAML配置文件配置
- 18. 在PostgreSQL中設置密碼
- 19. 無法在配置文件中加密密碼
- 20. 配置文件的碼頭機密
- 21. 獲取用戶密碼配置文件
- 22. 配置文件沒有密碼
- 23. 漫遊用戶配置文件密碼文件的位置
- 24. 如何獲取atg中特定配置文件的配置文件密碼?
- 25. Spring Oauth2。在DaoAuthenticationProvider中未設置密碼編碼器
- 26. 如何從配置類中實時地設置Spring活動配置文件?
- 27. 在JNLP中指定Spring配置文件
- 28. SslStream設置密碼套件
- 29. 在不同的位置/文件中使用帶密碼的SSIS配置文件
- 30. 爲docx,ppt,xlsx文件設置密碼