我们必须确保此临时数据将持久存在并且删除符合国防部的安全标准(删除磁盘上的数据/避免在磁盘上存储)。
我想将使用 RIJNDAEL 256 算法加密的数据 + 精心设计的 secret 存储到内存缓存中,但我担心数据丢失/损坏。
我也考虑过 MySQL 和内存堆存储引擎,但到目前为止我还不知道它们的可靠性。
对这个问题有什么想法吗?
最佳答案
这可能比您预期的更麻烦。一旦您将卡详细信息保存到磁盘,PCI-DSS 的全部重量就会压在您身上。这意味着您的整个网络(甚至公司)都会受到严密审查,以确保其安全并遵循强有力的最佳实践建议。
使用 AES(256 位 Rijndael)是朝着正确方向迈出的一步,但与组织 PCI 兼容 key 管理系统的难度相比,实际的加密是微不足道的。 key 必须拆分(双重知识),不能与数据存储在同一个盒子上,必须至少每年轮换一次,等等。 Getting key management right is challenging .
但最终,您需要证明您提出的任何解决方案都符合 PCI 标准。您通过注册 QSA(合格安全评估员)的协助来证明您的合规性。最好的建议是现在引入 QSA,这样他们就可以建议采取什么方法,并在必要时指导您绕过陷阱。
在项目完成时引入 QSA 是一种虚假的经济,因为如果他们没有通过您的解决方案,您将重新开始。
关于php - 确保持卡人数据的临时存储符合 PCI-DSS 要求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4465022/