标签：php credit-card pci-dss pci-compliance

我们正在开发一个新的软件(实际上只是一个PHP脚本),它收集持卡人信息并将其存储在MySQL数据库中.显然,我们正在采取一切安全措施(防火墙,反病毒,SELinux,对机器的限制性访问),但我们正试图了解我们需要采取哪些步骤才能实现它.

由于客户是4级商户(没有实际交易,只存储持卡人信息),我们需要进行哪些扫描才能找到？

显然我们需要扫描服务器/ IP,但是收集数据的PHP脚本呢？

解决方法:

您的客户实际上没有执行交易这一事实并不会影响他们的合规义务,因为PCI / DSS同样适用于卡数据存储和交易处理一样多,事实上,如果他们可以归类为“服务提供商”,那么增加义务.

根据您与客户的关系以及您如何对软件进行分类(服务/现成产品等),您可能还有PA-DSS下的额外义务,这些义务适用于支付(仅包括存储)软件的开发人员,并且可以变得漂亮如果您销售符合PCI标准的产品,那就是硬核.

如果您查看规范V2的副本,列出了所有要求,6.6说明了您需要对面向公众的Web应用程序(例如“独立”代码审查或应用程序防火墙)执行的操作.

标签：php,credit-card,pci-dss,pci-compliance
来源： https://codeday.me/bug/20190626/1297289.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。