نوشته‌شده در

pci dss – نیاز ورود به سیستم در PCI DSS برای استفاده در خانه

اخیرا ما یک ارزیابی PCI Gap داشتیم و حسابرس خواست که مجوز برنامه را نشان دهد، اما مجوز برنامه بسیار کاربردی داشتیم که فقط رویدادها و هر استثنا را ذخیره می کرد. اما حسابرس به ما گفت که باید درخواست معامله و پاسخ ورود به سیستم ذخیره شود، اکنون می توانیم این کار را انجام دهیم اما انجام این کار اطلاعات کارت (کدام رمزگذاری شده) را ذخیره می کنیم که ما می خواهیم جلوگیری کنیم زیرا ما نمی خواهیم هر جزئیات کارت را ذخیره کنیم. بنابراین آنچه که من می خواهم بدانم که توسط PCI مورد نیاز است که ما باید بدن پست درخواست ذخیره، حتی اگر حاوی جزئیات کارت رمزگذاری شده است؟

متأسفم اگر من این سوال را در جای اشتباهی خواسته بودم، اما هیچ مکانی دیگری برای پرسیدن چنین سوالی نداشتم، متشکرم.

نوشته‌شده در

pci dss – آیا هیچ PCI iFrame API یا خدمات چارچوب وجود دارد؟

من از Infusionsoft برای پردازش سفارشات کارت اعتباری استفاده می کنم. متاسفانه آنها یک راه سازگار با PCI SAQ-A برای پردازش سفارشات در وب سایت ما نیستند.

همه آنها ارائه یک API مبتنی بر سرور برای اضافه کردن کارت است، که من نیاز به ارسال اطلاعات کارت اعتباری به سرور من . این متاسفانه من را به پیروی از PCI SAQ-D منتقل می کند.

من تعجب می کنم که آیا شرکت هایی وجود دارند که خدماتی را ارائه می دهند که بر انطباق PCI عمل کنند و سپس به من اجازه می دهند کد هایی را که با Infusionsoft ادغام شده اند و سپس iFrame را فراهم کنند.

من آن را تصور می کنم مثل این:

  • میزبان صفحات که فرم سفارش را شامل تمام زمینه ها به جز جزئیات کارت اعتباری
  • من IFrame را از سرور گفت و گو که در آن کاربر وارد جزئیات کارت اعتباری [19659006] هنگامی که کاربر دکمه سفارش را فشار می دهد وب سایت من یک درخواست ajax ایجاد می کند که در Infusionsoft تماس ایجاد می کند و contactId را باز می کند
  • پس از آن contactId را به iFrame می فرستد و می گوید آن را به اضافه کردن اطلاعات کارت وارد شده به Infusionsoft
  • iFrame پشت کارت ID
  • صفحه من با استفاده از ajax برای پردازش سفارش و اتهام آن با استفاده از کارت با cardId جدید

به این ترتیب سرور من هرگز اطلاعات کارت اعتباری را لمس نمی کند.

آیا سرویس مانند این exi هر چند؟

نوشته‌شده در

javascript – آیا این کد به عنوان نا امن به نظر می رسد؟

شرکتی که من برای آن کار می کنم، به دنبال یک پردازنده پرداخت هستیم. ایده آل ما می خواهیم یک راه حل کامل و یکپارچه یکپارچه. من از این یکی از شرکت های توصیه شده که باید به

نگاه کردم این را دیدم. این یک صفحه نمونه است. من هنوز یک حساب کاربری شبیه سازی ندارم اما واقعا می خواهم چیزی را امتحان کنم (اما من یک درخواست را درخواست کردم).

در اینجا قطعه کد فوری یک مشکل وجود دارد:

بقیه اینجا بیشتر از HTML از " صفحه نمونه 'سند هدر و برچسب بدن. 


 
 ژنراتور امضای API شرکت.js 



 

     SECRET_KEY: 
      API Sig1 
 




 

     ACCOUNT_ID: 
    
          API Sig2 

         حساب کاربری 12 رقمی 2.0 شناسه حساب
    		
 


 

     امضای API: 
    
        

        

         MD5 هش کلید مخفی و شناسه حساب
    

این یک کتابخانه هشتگ MD5 سفارشی از خودشان است.

این به من به عنوان ضعف به عنوان امنیت جهنم اعتصاب.

  • A. هشل MD5 وحشتناک است
  • B. به هر حال، بی اهمیت است که کد هش را نادیده بگیریم و "راز" ماست
    بیرون من از طریق اسناد بیشتر خواندن را انجام می دهم تا اطمینان حاصل کنم که اینطور نیست
    گنگ به نظر می رسد

آیا ارسال مستقیم هنوز یک ایده صوتی است؟ Authorize.NET
   به نظر می رسید که یکی از بزرگ با Accept.JS. متاسفانه هزینه های آنها
   ما را بکشاند

یا این قطعه، نشان دادن پایان بیشتر به پایان دادن به عملکرد. امنیت را نمی بینم: 




     Encryption Company & amp؛ Tokenization 
    
    



 




    

    

         اطلاعات شما 
        

            

            

            
        
        
    


    

         اطلاعات اعتبار

نوشته‌شده در

پیروی PCI و انتقال داده کارت

من خواندن کرده ام که PCI تجار را برای نگهداری شش و چهار رقم آخر مجبور می کند حداکثر رقم هایی باشد که ممکن است
نمایش داده شده / ذخیره شده است.
من سعی می کنم آنچه را که در رابطه با انتقال کارت لازم است پیدا کنم. e.g. آیا مشتری یک وب سایت (اگر بخواهد) شماره PAN و شماره CC (نه پنهان) را ارسال کند، اما توسعه دهنده آن را همانطور که توسط PCI مورد نیاز است ذخیره می کند؟ بنابراین PCI تنها در مورد ذخیره سازی از دیدگاه بازرگان است، اما چگونه مشتری آن را به فروشنده ارسال می کند بی اهمیت است

متشکرم

نوشته‌شده در

pci dss – داده های حساس شناسایی، محتویات و ریشه کن کردن – زنجیره نگهداری

برای ایجاد یک دیدگاه از اطلاعات حساس در سازمان، یک فعالیت کشف بسیج شده است. علاوه بر ایجاد یک دیدگاه، هدف ابتکار این است که همچنین سیاست ها، فرآیندها و روش های مربوط به حاوی و ریشه کن کردن اطلاعات حساس در صورت لزوم را اطلاع دهد.

علاوه بر این، همچنین باید به حداقل رساندن خطرات و تاثیرات نقض کمک کند یک رخ می دهد.

در طول مرحله کشف اطلاعات حساس در مکان های مختلف شناسایی شد. این شامل اطلاعات قابل شناسایی شخصی، اطلاعات کارت شناسان، هویت های اجتماعی و غیره

قبل از ریشه کن کردن داده ها، ما گزینه هایی را برای پشتیبانی از توانایی تجزیه و تحلیل داده ها بررسی می کنیم. به همین ترتیب، اگر تجزیه و تحلیل بیانگر اکستروژن داده باشد، ما می خواهیم در فعالیت های قانونی فعالیت داشته باشیم.

در بررسی تنظیمات سیستم، ما دریافتیم که سیاهههای مربوط به ناکافی بودن سیستم به لحاظ تاریخی نادرست پیکربندی شده است. به عنوان مثال، در یک سناریو، سیاهههای مربوط بومی ویندوز تنها برای چند روز ادامه می یابد.

با توجه به فقدان logs قابل اطمینان و اطمینان از زنجیره نگهداری، شیوه های توصیه شده چیست؟ آیا موارد مربوط به انطباق وجود دارد مانند PCI-DSS؟