是否所有源代碼都需要符合PCI規範？

Question

我們從未傳送，處理或存儲過去的信用卡信息，因爲我們通過PayPal執行所有操作，所以我們從不需要符合PCI標準。

但是，我們正在推出一個新的在線商店，並通過無縫結賬的方式處理信用卡信息而無需重定向到PayPal，因此我們現在需要PCI合規性。

我們將諮詢合格安全評估公司來指導我們獲取和維護PCI合規性。然而，在他們試圖向你推銷房子裏可能不需要的每項服務之前，我想先徵詢他們的建議，然後再諮詢他們。

在PCI合規性方面，我理解需要在軟件和硬件層面完成並滿足12點+要求。我們正在與Magento Professional進行合作，因爲它具有符合PCI標準的支付系統，並且我們將使用PCI兼容的網絡託管公司（專用服務器）。但就軟件而言，您是否需要對所有產品實施PCI合規性？或者只是傳輸，存儲和處理信用卡信息的軟件？

例如，根據Magento的說法，支付軟件符合PCI標準，而Magento平臺則不符合。因此，您可以對Magento進行更改，修改和自定義，而不會影響支付軟件的PCI合規性。

換句話說，我在問，您是否只需要處理傳輸，處理和存儲信用卡信息的源代碼/軟件的PCI合規性？這些「合格的安全評估公司」給人的印象是，所有的源代碼都需要檢查PCI合規性，這是不可能的！

例如，對於Magento，我可以對其進行更改和修改，並仍然保持PCI兼容？只要支付模塊不受影響，因爲它符合PCI標準，並且虛擬主機，服務器和操作系統符合PCI標準？

我的意思是不用信用卡處理的php，javascript，mysql的東西不需要符合他們嗎？他們當然會在同一臺服務器上。

Answer 1

基本的答案是，它取決於。一般而言，只有處理（或可處理）PCI敏感和受保護數據的源代碼需要符合PCI標準。但是，這意味着如果您的代碼的其他區域可以訪問安全區域，那麼您也需要安全性。例如，如果您的應用程序的其他區域容易受到SQL注入攻擊，則可能會危及您的信用卡系統。這就是爲什麼有些人會傾向於所有軟件的PCI合規性。必須保證可以利用寫得不好的軟件來損害數據的安全性。

我說這取決於，因爲那些做檢查的人總是有一些解釋的餘地​​。然而，好消息是所有標準中，PCI似乎是你需要做什麼和不能做什麼的最直接和最具體的。下面是關於什麼的PCI直接說的更多信息：

https://www.pcisecuritystandards.org/documents/infosupp_6_6_applicationfirewalls_codereviews.pdf

這裏的基本問題是要確保該網站不能被任何地方利用。如果您在應用程序區域（信用卡數據與普通網站）之間開發了足夠的「防火牆」，則只需掃描一些代碼即可獲得長足的發展。另外，正如上述文件所述，您不必爲了符合PCI而進行源代碼審查。但是，您的應用程序需要進行廣泛的測試，以確保它可以避免典型的漏洞。

Answer 2

我不能說PCI遵守的法律細節，但如果我是你係統的審計員，如果任何非認證的代碼作爲運行認證代碼的相同用戶標識運行，我會非常大聲地發出警報。

我也想看看漂亮的密切關注什麼的setuid/setgid的可執行文件是系統上運行什麼作爲root或升高capabilities(7)可能影響符合PCI標準的軟件，和我可能會要求mandatory access control工具，如AppArmor ，SElinux,TOMOYO或SMACK，以及防止由不可信執行域篡改服務器的PCI兼容部分的適當配置。