用於前端的PCI合規性（PCI DSS）

Question

我目前正在開發該項目，其中一項功能是電子商務，因此我們的系統應該考慮用戶信用卡信息和其他憑證信息的安全性。

我知道任何處理用戶付款卡信息的網絡服務都應遵循PCI合規性（支付卡信息數據安全標準）。作爲一名前端開發人員，我需要弄清楚我應該關注哪些PCI DSS部分並需要學習。

任何建議，引用或建議？

感謝您的幫助

Answer 1

PCI-DSS是相當複雜的，但在短期：大多數的規則應遵循有關後端處理和存儲。一個關於前端的一點是要求3.3：顯示時

面膜PAN（前六位和後四位是您可以顯示數位 最大數量），這樣只有被授權 人合法業務需求可以看到多於第一個 PAN的六位/後四位數字。這並不取代可能適用於顯示持卡人數據的更嚴格的 要求，例如在銷售點收據上的 。

但我認爲在前端執行此操作是個壞主意。最好將已屏蔽的數據發送到前端，因爲客戶端上的所有內容都可以被操縱（例如，您通過javascript屏蔽了卡號，但在頁面源中可找到整個號碼）。

當然reuirement 4和：

4.1使用強大的加密和安全協議傳輸在開放的，公共 網絡（例如互聯網，無線技術，移動通信技術， 通用無線分組中保護敏感的持卡人數據服務[GPRS​​]，衛星通信）。確保 無線網絡傳輸持卡人數據或連接到 持卡人數據環境使用行業最佳做法實施 強認證和傳輸加密。 （當使用 SSL /早TLS，在PCI DSS附錄A2要求必須 完成。）

4.2從不發送由終端用戶通訊技術不受保護的PAN（例如，電子郵件，即時消息，短信，聊天等）。

4.3確保相關安全策略和操作程序已記錄在案，正在使用中並且已爲所有相關方所瞭解。

請務必使用強傳輸層加密（TLS 1.2），並且只允許安全密碼，以便從您的前端傳輸到後端的數據不會被嗅探網絡的人讀取。 您應該知道，前端的所有保護措施可能會受到髒PC的破壞，這意味着受特洛伊木馬病毒和其他惡意軟件感染的PC。這主要由需求5覆蓋。

5.1在所有受惡意軟件（特別是個人計算機和服務器）影響的系統上部署防病毒軟件。對於不受惡意軟件影響的 系統，請執行定期的 評估來評估不斷變化的惡意軟件威脅，並確認此類系統是否繼續不需要防病毒軟件。

5.2確保所有防病毒機制保持最新狀態，執行定期掃描，生成審覈日誌，並根據PCI DSS 保留要求10.7。

5.3確保反病毒機制正在積極運行，並且不能被用戶禁用或更改，除非在一定時間內根據具體情況進行個案管理。

5.4確保相關安全策略和操作程序已記錄在案，正在使用中並且已爲所有相關方所瞭解。

最後：確保您讓您的應用程序在需要時進行託管。