【发布时间】:2012-02-15 02:59:44
【问题描述】:
我读过几篇文章,说要拥有符合 PCI 的云解决方案,您需要拥有私有云环境并且不能使用谷歌应用引擎。是否可以创建一个符合 PCI 标准的网站,专门在谷歌应用引擎应用程序中存储信用卡信息和个人用户数据。请列出事实的、非深奥的原因为什么这可能是不可能的,或者列出应用引擎开发人员需要并且可以完成的高级任务指令。
【问题讨论】:
-
你最好问问 GAE 的人而不是我们。 IMO 在基于公共云的托管环境中存储信用卡数据既不安全,也不应成为理想的解决方案。但是,可以使用符合 PCI 的商家处理器,让他们处理安全存储 CC 号码的难题。如果您只是将信用卡数据传递给商家处理器而不是存储它,那么 PCI 合规性要求要宽松得多。我很想看看其他人必须分享什么答案。
-
在向 GAE 团队提出问题之前,我会先看看线程是如何进行的。我们的需求要求我们存储卡数据以供将来使用,尽管我们仅将其存储以稍后将其传递给符合 PCI 的处理器。目前,我们实际上正在与处理器一起审查令牌选项(它们存储它,我们有一个引用它的密钥),但我仍然觉得这个问题值得向整个 SO 社区提问。
-
这是个好问题,我只是觉得没有资格回答。我们目前正在使用令牌选项,但我们仍然不符合 PCI,因为我们的托管服务提供商的数据中心的安全策略很慢。您的托管服务提供商必须能够证明某些安全策略和措施,即使是令牌通行系统也符合要求,因此它可能完全不在您的掌控之中。我们目前正在寻找新的托管,我们也对云托管的好处感到好奇。但是,无论您做什么,您的托管服务提供商都必须声明支持 PCI 合规性。
-
“无论您做什么,您的托管服务提供商都必须声明支持 PCI 合规性。” ......现在听起来像是谷歌应用引擎的表演停止者。
标签: google-app-engine pci-dss pci-compliance