نوشته‌شده در

pci dss – نیاز ورود به سیستم در PCI DSS برای استفاده در خانه

اخیرا ما یک ارزیابی PCI Gap داشتیم و حسابرس خواست که مجوز برنامه را نشان دهد، اما مجوز برنامه بسیار کاربردی داشتیم که فقط رویدادها و هر استثنا را ذخیره می کرد. اما حسابرس به ما گفت که باید درخواست معامله و پاسخ ورود به سیستم ذخیره شود، اکنون می توانیم این کار را انجام دهیم اما انجام این کار اطلاعات کارت (کدام رمزگذاری شده) را ذخیره می کنیم که ما می خواهیم جلوگیری کنیم زیرا ما نمی خواهیم هر جزئیات کارت را ذخیره کنیم. بنابراین آنچه که من می خواهم بدانم که توسط PCI مورد نیاز است که ما باید بدن پست درخواست ذخیره، حتی اگر حاوی جزئیات کارت رمزگذاری شده است؟

متأسفم اگر من این سوال را در جای اشتباهی خواسته بودم، اما هیچ مکانی دیگری برای پرسیدن چنین سوالی نداشتم، متشکرم.

نوشته‌شده در

pci dss – آیا هیچ PCI iFrame API یا خدمات چارچوب وجود دارد؟

من از Infusionsoft برای پردازش سفارشات کارت اعتباری استفاده می کنم. متاسفانه آنها یک راه سازگار با PCI SAQ-A برای پردازش سفارشات در وب سایت ما نیستند.

همه آنها ارائه یک API مبتنی بر سرور برای اضافه کردن کارت است، که من نیاز به ارسال اطلاعات کارت اعتباری به سرور من . این متاسفانه من را به پیروی از PCI SAQ-D منتقل می کند.

من تعجب می کنم که آیا شرکت هایی وجود دارند که خدماتی را ارائه می دهند که بر انطباق PCI عمل کنند و سپس به من اجازه می دهند کد هایی را که با Infusionsoft ادغام شده اند و سپس iFrame را فراهم کنند.

من آن را تصور می کنم مثل این:

  • میزبان صفحات که فرم سفارش را شامل تمام زمینه ها به جز جزئیات کارت اعتباری
  • من IFrame را از سرور گفت و گو که در آن کاربر وارد جزئیات کارت اعتباری [19659006] هنگامی که کاربر دکمه سفارش را فشار می دهد وب سایت من یک درخواست ajax ایجاد می کند که در Infusionsoft تماس ایجاد می کند و contactId را باز می کند
  • پس از آن contactId را به iFrame می فرستد و می گوید آن را به اضافه کردن اطلاعات کارت وارد شده به Infusionsoft
  • iFrame پشت کارت ID
  • صفحه من با استفاده از ajax برای پردازش سفارش و اتهام آن با استفاده از کارت با cardId جدید

به این ترتیب سرور من هرگز اطلاعات کارت اعتباری را لمس نمی کند.

آیا سرویس مانند این exi هر چند؟

نوشته‌شده در

pci dss – داده های حساس شناسایی، محتویات و ریشه کن کردن – زنجیره نگهداری

برای ایجاد یک دیدگاه از اطلاعات حساس در سازمان، یک فعالیت کشف بسیج شده است. علاوه بر ایجاد یک دیدگاه، هدف ابتکار این است که همچنین سیاست ها، فرآیندها و روش های مربوط به حاوی و ریشه کن کردن اطلاعات حساس در صورت لزوم را اطلاع دهد.

علاوه بر این، همچنین باید به حداقل رساندن خطرات و تاثیرات نقض کمک کند یک رخ می دهد.

در طول مرحله کشف اطلاعات حساس در مکان های مختلف شناسایی شد. این شامل اطلاعات قابل شناسایی شخصی، اطلاعات کارت شناسان، هویت های اجتماعی و غیره

قبل از ریشه کن کردن داده ها، ما گزینه هایی را برای پشتیبانی از توانایی تجزیه و تحلیل داده ها بررسی می کنیم. به همین ترتیب، اگر تجزیه و تحلیل بیانگر اکستروژن داده باشد، ما می خواهیم در فعالیت های قانونی فعالیت داشته باشیم.

در بررسی تنظیمات سیستم، ما دریافتیم که سیاهههای مربوط به ناکافی بودن سیستم به لحاظ تاریخی نادرست پیکربندی شده است. به عنوان مثال، در یک سناریو، سیاهههای مربوط بومی ویندوز تنها برای چند روز ادامه می یابد.

با توجه به فقدان logs قابل اطمینان و اطمینان از زنجیره نگهداری، شیوه های توصیه شده چیست؟ آیا موارد مربوط به انطباق وجود دارد مانند PCI-DSS؟

نوشته‌شده در

pci dss – مزایای استفاده از PCI DSS، راهنمایی HIPAA و سرورهای دستورالعمل NIST

فقط برای لذت بردن از آن، من موفق به دریافت سرور شخصی من برای مطابقت با الزامات PCI DSS، راهنمایی HIPAA و دستورالعمل NIST

من سعی کردم توضیح منافع مشتریان خود را به مدیر من، اما شکست زیرا من به تکنیکی برای توضیح مزایای این استانداردها به یک مرد غیر فنی هستم.

از آنجا که شما یک امتیاز "A" در htbridge و sslabs دریافت می کنید، کدام مزایای این استانداردها را به آن ها می دهد؟