Mysql
PCI-DSS 合規性
我們正在開發一種新軟體(實際上只是一個 php 腳本),它收集持卡人資訊並將其儲存在 MySQL 數據庫中。顯然,我們正在採取一切安全預防措施(防火牆、防病毒、SELinux、限制對機器的訪問),但我們正在嘗試了解在實施之前我們需要採取哪些步驟。
由於客戶是 4 級商戶(沒有實際交易,只是儲存持卡人資訊),我們需要進行哪些掃描才能找到?
顯然我們需要掃描伺服器/IP,但是收集數據的 php 腳本呢?
不幸的是,持卡人數據儲存電子商務環境受制於最嚴格的 PCI-DSS 要求(D 類)。
注意:人們會告訴您,1 級商家的規則比 4 級要嚴格。這是不正確的。只有 1 級商戶才需要進行審核,但如果您是 4 級商戶被發現違反規則,您仍然會受到一些巨額處罰和法律責任。
您需要遵循的完整規則列表如下: https ://www.pcisecuritystandards.org/documents/pci_saq_d.pdf
在您的應用程序開發過程中,您需要特別注意要求 1-4。
通常,我建議小商店盡可能外包持卡人數據儲存甚至購物車的東西,以減少頭痛和責任。NetSuite、Paypal、Google Checkout 和許多其他公司都可以為您提供幫助。