¿Cuáles son las reglas PCI a seguir para almacenar números de tarjetas de crédito en una base de datos?Almacenamiento de número de tarjeta de crédito: ¿PCI?
1) ¿Esto está permitido? 2) de ser así, ¿qué reglas debemos seguir?
Estoy mirando este sitio https://www.pcisecuritystandards.org/security_standards/index.php ¿Qué documento debería leer aquí?
1) Sí, se permite pero muy, muy desanimado. Tener esta información en su base de datos lo convierte en un objetivo extremadamente atractivo para los piratas informáticos. Y si crees que puedes protegerlo, piénsalo de nuevo. Los hackers han derrotado la seguridad de las empresas con una seguridad excelente. Tu seguridad no será mejor.
2) Debe seguir las reglas PCI delineadas in this guide. Pero puede encontrar this guide más fácil de entender. Vaya a la página 14 para obtener lo que necesita saber. Básicamente, puede almacenarlo, pero debe cifrarse según los estándares PCI. Su servidor y red también deben ser seguros. Si alguna pieza del rompecabezas no cumple con PCI, no puede almacenar los números de tarjeta de crédito. Eso descarta la mayoría de las empresas de alojamiento compartido como una solución.
+1. Solo quería comentar que el encriptado es la parte más fácil, y cualquiera que quiera abordar esto no debe subestimar las dificultades con la administración de claves de cifrado. – PaulG
gracias John Conde – 001
Si va a almacenar números de tarjetas de crédito, también debe preocuparse por todos los tipos de acceso al servidor, incluido el físico. Realicé operaciones para servidores compatibles con PCI en una gran empresa e hicimos lo siguiente: los números CC se encriptaban (seguro), el acceso al servidor de la base de datos se limitaba a las direcciones IP de los servidores web y las direcciones IP de las direcciones IP del equipo de operaciones (No pude conectarme desde mi casa o incluso a otro edificio), y el servidor estaba en una jaula cerrada (literalmente tenía una cadena y un candado). Incluso si llegué al DC, no pude acceder a la máquina. –
No es una respuesta directa, sino una sugerencia. Por favor no downvote; Solo estoy tratando de ser útil. Después de mucha experiencia con el cumplimiento de PCI, le sugiero que evite tener información de tarjeta de crédito en sus sistemas si es posible.
El enfoque que hemos utilizado (con gran éxito) es Tokenización. Existen servicios que recopilarán y almacenarán la información de su tarjeta de crédito por usted. Realiza una llamada API para obtener un token, generalmente un hash de algún tipo, que representa el número de cuenta principal de la tarjeta de crédito. Cuando desee facturar la tarjeta, pase el token y otros detalles de la transacción y procesen el pago.
Aquí es un artículo sencillo sobre el proceso: http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php
Hay un montón de opciones para este estos días:
Para obtener más información sobre ese enfoque, puede usar el Google Search: Credit Card Tokenization.
No es una respuesta directa, pero en mi humilde opinión tiene un gran valor como enfoque alternativo. +1 – Fabio
@FAbio Gouw - Gracias. –
Agregué a Adyen a la lista de proveedores de pago de tokenización en diciembre de 2106. No los he usado personalmente, pero hoy en mi cuenta de JetBrains noté que esto es lo que usa JetBrains. Como uno de los principales proveedores de herramientas de desarrollo (en mi humilde opinión), ASUMIRÍA que hayan investigado adecuadamente a Adyen por cuestiones de seguridad. –
Puede, pero es costoso de hacer.
Necesita tener DNS proporcionado por otro servicio o servidor DNS dedicado.
Necesita tener un servidor dedicado que ejecute su base de datos SQL Server y nada más.
Debe utilizar un software aprobado por PCI.
Su servidor de base de datos necesita estar dentro del mismo centro de datos que su servidor web, de lo contrario tendrá un bajo rendimiento.
Por lo tanto, es mejor alojar su sitio en un host seguro PCI o configurar sus servidores como lo describí.
Intenta buscar en stackoverflow.com para obtener "cumplimiento de pci". Obtendrá más que una ganga. –
¿* realmente * quieres, incluso si está permitido? La inconveniencia de que los usuarios tengan que volver a introducirlos es pequeña en comparación con los dolores de cabeza que les da almacenarlos de forma segura. Y creo que a la mayoría de los usuarios tampoco les gustan los sitios web que almacenan su número de tarjeta. – CodesInChaos
Si crees que la seguridad es tan buena como la de alguien como Amazon, guárdalo. Es muy conveniente y * me * hace más probable que compre. Realmente no responde tu pregunta, pero pensé que diría que tu modelo puede ser bueno. – johnny