储存信用卡号码 - PCI？

Question

在数据库中存储信用卡号码时遵循哪些PCI规则？

1）这是允许的吗？ 2）如果是这样，我们必须遵循什么规则？

我正在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 哪个文件应该在这里阅读？

Answer 1

1）是的，这是允许的，但非常，很气馁。在数据库中提供这些信息使您成为黑客极具吸引力的目标。如果你认为你可以保护它，再想一想。黑客已经击败了具有出色安全性的公司的安全。你的安全性不会更好。

2）您必须遵循概述in this guide的PCI规则。但你可能会发现this guide更容易理解。请转到第14页，了解您需要了解的内容。基本上你可以存储它，但它必须根据PCI标准进行加密。您的服务器和网络也必须安全。如果任何难题不符合PCI标准，则不能存储信用卡号码。这就排除了大多数共享托管公司作为解决方案。

Answer 2

这不是一个直接的答案，而是一个建议。请不要低估;我只是想帮助。在PCI合规经验丰富之后，我强烈建议您尽可能避免在系统上使用信用卡信息。

我们使用的方法（取得巨大成功）是Tokenization。有些服务会为您收集和存储您的信用卡信息。您可以通过API调用获取令牌，通常是某种类型的散列，代表信用卡的主帐号。当你想要记账时，你通过令牌和其他交易细节，然后他们处理付款。

这里是关于过程的简单文章： http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

有很多的选项，这这些天：

• https://www.adyen.com/blog/tokenization-payment-technology-guide
• http://www.elementps.com/software-providers/security/pass/
• http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/

有关该方法的更多信息，可以使用Google Search: Credit Card Tokenization。

Answer 3

你可以做但是很贵。

您需要有由其他服务或专用DNS服务器提供的DNS。

你需要有一个专门的服务器运行你的SQL Server数据库，没有别的。

您需要使用PCI认可的软件。

您的数据库服务器需要与您的Web服务器在同一个数据中心内，否则您的性能会很差。

因此，最好将您的站点托管在PCI安全主机上，或按照我所述设置您的服务器。