我有一个业务需求,迫使我在短时间内存储客户的完整信用卡详细信息(号码,姓名,失效date,CVV2)。 理由:如果客户打电话订购产品,并且他们的信用卡在现场被拒绝,您可能会失去销售。 如果你把他们的细节,感谢他们的交易,然后发现卡被拒绝,你可以给他们打电话,他们更可能find另一种方式来支付产品。 如果信用卡被接受,则清除订单中的详细信息。 我无法改变这一点。 现有的系统以明文forms存储信用卡详细信息,并且在我正在build造的新系统中replace这个我显然不会复制这个! 那么我的问题就是如何在短时间内安全地存储信用卡。 我显然想要一些encryption,但最好的办法是什么? 环境:C#,WinForms,SQL-Server。
这个问题谈到了不同的支付处理器和他们的成本,但我正在寻找答案,如果我想要接受信用卡付款,我需要做什么? 假设我需要为客户存储信用卡号码,所以依靠信用卡处理器做这个繁重的工作是不可能的。 PCI数据安全 ,显然是存储信用卡信息的标准,有一系列的一般要求,但是如何实现呢 ? 像Visa这样的供应商有哪些最佳做法? 我是否需要使用遥控器访问本机? 从物理上保护它免于黑客在build筑物呢? 或者甚至如果有人拿到了SQL Server数据文件的备份文件呢? 备份呢? 这些数据还有其他的实体拷贝吗? 提示: 如果您获得商家帐户,您应该谈判他们收取“交换加”而不是分层定价。 通过分级定价,他们将根据使用什么types的Visa / MC向您收取不同的费率 – 即。 他们更多地收取附有大奖的贺卡。 交换加计费意味着您只需向处理器支付Visa / MC的费用,另外还要支付固定费用。 (Amex和Discover将自己的费率直接付给商家,所以这个不适用于这些卡,你会发现Amex的利率在3%的范围内,Discover可以低至1%。 2%的范围)。 这项服务应该为你做谈判 (我没有用过,这不是一个广告,我不附属于该网站,但这项服务是非常需要的。) 这篇博客文章提供了处理信用卡 (特别是英国)的完整情况。 也许我错误地说了这个问题,但是我正在寻找这样的提示: 使用SecurID或eToken将额外的密码图层添加到物理盒子。 确保箱子放在有物理锁或钥匙码组合的房间里。
是否有人获得实践经验或参考实施符合PCI DSS安全标准的密钥pipe理scheme? 考虑到符合PCI DSS的公司数量,显然有相当多的实施,但试图find它们的细节是艰难的。 当它下降到存储私人数据时,讨论通常停止在使用哪种encryptionalgorithm。 之后,通常会有一个关于正确存储私钥的声明,但是没有讨论实际的方法来做这件事,或者像定期更换密钥或者提供应用程序的密钥之类的东西。 具体而言,我对PCI DSS标准第3.5节和第3.6节的要求感兴趣。 3.5.2将密钥安全地保存在尽可能less的位置和表格中。 3.6.avalidation用于encryption持卡人数据的密钥是否存在密钥pipe理程序。 注:关键pipe理的许多行业标准可以从各种资源中获得,包括NIST,可以在http://csrc.nist.govfind。 3.6.4validation密钥pipe理程序是否至less每年要求定期更换密钥。 根据PCI DSS要求文件的build议,我已经看了NISTencryption出版物 ,但除了最近的encryption密钥pipe理研讨会logging之外 ,似乎没有太多的真正可实施的scheme或标准。 至于我想做的事情不是: 存储密码+盐作为authentication的一种方式, select一个强大的数据encryptionsymmtericalgorithm, 避免首先存储私人数据。 避免使用其他机制进行密钥pipe理:物理安全,数据库安全,龙和向导等。 所有这些都是有效的担忧,但在这种情况下不是答案。 我的要求的坚果和螺丝是在一个不同的SO问题。networkingdevise模式存储和检索敏感的每个用户的数据,但这一切都归结为密钥pipe理,因此这个更精致的问题。