Убедитесь, что временное хранение данных держателя карты соответствует требованиям PCI-DSS?
Мы должны быть уверены, что эти временные данные будут постоянными и что удаление соответствует стандартам безопасности DoD (стирание данных на диске / избегание хранения на диске).
Я думал сохранить данные, зашифрованные с помощью алгоритма RIJNDAEL 256 + специально созданный секрет, в memcache, но я боюсь потери / повреждения данных.
Я также подумал о MySQL и механизме кучи памяти, но пока не знаю, насколько это надежно.
Есть мысли на эту тему?
2 ответа
Это, вероятно, больше проблем, чем вы ожидаете. Как только вы сохраняете данные карты на диск, весь вес PCI-DSS ложится на вас. Это означает, что вся ваша сеть (и даже компания) находится под пристальным вниманием, чтобы убедиться, что она безопасна и следует строгим рекомендациям наилучшей практики.
Использование AES (256-битный Rijndael) является шагом в правильном направлении, но фактическое шифрование тривиально по сравнению со сложностью организации PCI-совместимой системы управления ключами. Ключи должны быть разделены (двойное знание), не могут храниться в том же ящике, что и данные, должны иметь возможность чередования как минимум раз в год и т. Д. Правильное управление ключами - сложная задача.
В конечном счете, вам нужно будет доказать, что любое решение, которое вы придумали, совместимо с PCI. Вы подтверждаете свое согласие, заручаясь поддержкой QSA (квалифицированного оценщика безопасности). Лучшим советом было бы сейчас ввести QSA, чтобы они могли посоветовать, какой подход выбрать, и, в случае необходимости, провести вас через подводные камни.
Внедрение QSA, когда проект завершен, является ложной экономией, потому что, если они потерпят неудачу в вашем решении, вы начнете снова.
Хранение данных карты абсолютно необходимо? Есть поставщики (например, Braintree), которые будут обрабатывать карты, не требуя от вашего сайта хранения информации о картах, тем самым освобождая вас от бремени совместимости с PCI.