php – PCI合规成本？

我们正在开发一个新的软件(实际上只是一个PHP脚本),它收集持卡人信息并将其存储在MySQL数据库中.显然,我们正在采取一切安全措施(防火墙,反病毒,SELinux,对机器的限制性访问),但我们正试图了解我们需要采取哪些步骤才能实现它.

由于客户是4级商户(没有实际交易,只存储持卡人信息),我们需要进行哪些扫描才能找到？

显然我们需要扫描服务器/ IP,但是收集数据的PHP脚本呢？

解决方法:

您的客户实际上没有执行交易这一事实并不会影响他们的合规义务,因为PCI / DSS同样适用于卡数据存储和交易处理一样多,事实上,如果他们可以归类为“服务提供商”,那么增加义务.

根据您与客户的关系以及您如何对软件进行分类(服务/现成产品等),您可能还有PA-DSS下的额外义务,这些义务适用于支付(仅包括存储)软件的开发人员,并且可以变得漂亮如果您销售符合PCI标准的产品,那就是硬核.

如果您查看规范V2的副本,列出了所有要求,6.6说明了您需要对面向公众的Web应用程序(例如“独立”代码审查或应用程序防火墙)执行的操作.

标签：php,credit-card,pci-dss,pci-compliance
来源： https://codeday.me/bug/20190626/1297289.html