我一直在开发一个项目,其他开发者开发了一个处理信用卡的应用程序。这就像客户打电话给代理人一样,他会收集信息并为该卡收费。我们需要存储对卡片的参考,以便我们可以在他们给我们打电话时迅速给他们充电。这种情况并不常见,实际上是客户使用在线表格打电话或发出订单。保存包括CCV在内的所有信用卡信息!?
当我检查数据库。我很惊讶地发现他存储了所有的信用卡信息。好吧,不仅是信用卡号码,他还保存了到期日,ccv以及客户投入的所有内容。
这一切都是未加密的,就在那里!我们根本没有保持那么多的监控/安全。
我现在只是很困惑。存储它们可以吗?我知道它不是。他存储他们的理由是什么?
这有点奇怪。要被允许处理信用卡数据,您通常必须通过外部PCI-DSS审计,以检查系统的安全性,包括数据处理,加密和流程。
该准则声明除其他外,该数据已将加密。此外,您从不允许存储CCV值。你应该和你的同事核对一下,这是所有的犹太教徒。如果系统上有任何问题,您可能会面临一些严重的(执法)问题。
我想今天存储数据的原因就是愚蠢。你应该真的改变这一点!
我们确定使用付款处理器来处理付款。我会谈论这个。但是,他是一名资深人士。我需要足够的理由。 – JMIZAN
如果您使用付款处理器,您应该将数据转发给他。但是,除非您完成了PCI审计,否则不允许您保存数据。为确保保存的信用卡数据的安全性,这是审计的唯一最重要的原因 –
重复*从不*存储CCV。整个问题是,这是从卡本身*只能发现*的信息。您无法存储它,因为Holger说您违反了PCI-DSS指南。这对您的组织来说是一个重大风险。如果违反您的担保,银行有理由不赔偿您的损失。 –
公司一直存储信用卡信息...至于CCV,只是“有”没有这么多。 – sealz