database - standard - Almacenamiento de número de tarjeta de crédito-PCI?
pcisecuritystandards.org glossary (3)
1) Sí, está permitido pero muy, muy desanimado. Tener esta información en su base de datos lo convierte en un objetivo extremadamente atractivo para los hackers. Y si crees que puedes protegerlo, piénsalo de nuevo. Los hackers han derrotado la seguridad de las empresas con excelente seguridad. Tu seguridad no será mejor.
2) Debe seguir las reglas de PCI descritas en esta guía . Pero usted puede encontrar esta guía más fácil de entender. Vaya a la página 14 para lo que necesita saber. Básicamente, puede almacenarlo, pero debe estar cifrado de acuerdo con los estándares PCI. Su servidor y su red también deben ser seguros. Si alguna pieza del rompecabezas no es compatible con PCI, no puede almacenar los números de las tarjetas de crédito. Eso descarta la mayoría de las empresas de alojamiento compartido como una solución.
¿Cuáles son las reglas de PCI a seguir para almacenar números de tarjetas de crédito en una base de datos?
1) ¿Está esto permitido? 2) Si es así, ¿qué reglas debemos seguir?
Estoy mirando este sitio https://www.pcisecuritystandards.org/security_standards/index.php ¿Qué documento debería leer aquí?
Esta no es una respuesta directa, sino una sugerencia. Por favor, no votes abajo; Solo estoy tratando de ser útil. Después de mucha experiencia con el cumplimiento de PCI, le sugiero que evite tener información de tarjeta de crédito en sus sistemas si es posible.
El enfoque que hemos utilizado (con gran éxito) es la Tokenización. Hay servicios que recopilarán y almacenarán la información de su tarjeta de crédito para usted. Realiza una llamada a la API para obtener un token, generalmente un hash de algún tipo, que representa el número de cuenta principal de la tarjeta de crédito. Cuando desea facturar la tarjeta, pasa el token y otros detalles de la transacción, y ellos procesan su pago.
Aquí hay un artículo sencillo sobre el proceso: http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php
Hay muchas opciones para esto en estos días:
- https://www.adyen.com/blog/tokenization-payment-technology-guide
- http://www.elementps.com/software-providers/security/pass/
- http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/
Para obtener más información sobre este enfoque, puede utilizar la Búsqueda de Google: Tokenización de tarjetas de crédito .
Puedes pero es caro hacerlo.
Necesita tener DNS proporcionado por otro servicio o un servidor DNS dedicado.
Necesita tener un servidor dedicado que ejecute su base de datos SQL Server y nada más.
Necesita utilizar software aprobado por PCI.
Su servidor de base de datos debe estar dentro del mismo centro de datos que su servidor web, de lo contrario, tendrá un bajo rendimiento.
Así que es mejor alojar su sitio en un host seguro PCI o configurar sus servidores como lo describí.