存储信用卡号 - PCI？

Question

在数据库中存储信用卡号应遵循哪些 PCI 规则？

1) 这是否允许？ 2）如果是这样，我们必须遵循什么规则？

我在看这个网站https://www.pcisecuritystandards.org/security_standards/index.php 我应该在这里阅读哪个文件？

Answer 1

1) 是的，这是允许的，但非常非常不鼓励。在您的数据库中拥有这些信息会使您成为黑客极具吸引力的目标。如果你认为你可以保护它，再想一想。黑客已经击败了具有出色安全性的公司的安全性。您的安全不会更好。

2) 您必须遵守in this guide 列出的 PCI 规则。但是您可能会发现this guide 更容易理解。前往第 14 页了解您需要了解的内容。基本上您可以存储它，但必须根据 PCI 标准对其进行加密。您的服务器和网络也必须是安全的。如果任何一块拼图不符合 PCI 标准，您就无法存储信用卡号。这排除了大多数共享托管公司作为解决方案。

Answer 2

这不是一个直接的答案，而是一个建议。请不要投反对票；我只是想提供帮助。在获得了丰富的 PCI 合规经验后，我强烈建议您尽可能避免在系统上保存信用卡信息。

我们使用的方法（非常成功）是标记化。有些服务会为您收集和存储您的信用卡信息。您进行 API 调用以获取令牌，通常是某种散列，表示信用卡的主帐号。当您想为卡计费时，您传递令牌和其他交易详细信息，然后他们处理付款。

这是一篇关于该过程的简单文章： http://www.creditcards.com/credit-card-news/tokenization-to-fight-credit-card-id-theft-1282.php

现在有很多选择：

• https://www.adyen.com/blog/tokenization-payment-technology-guide
• http://www.elementps.com/software-providers/security/pass/
• http://www.cybersource.com/products_and_services/payment_security/payment_tokenization/

有关该方法的更多信息，您可以使用Google Search: Credit Card Tokenization。

Answer 3

你可以，但这样做很昂贵。

您需要由其他服务或专用 DNS 服务器提供 DNS。

您需要有一个专门的服务器来运行您的 SQL Server 数据库，仅此而已。

您需要使用 PCI 认可的软件。

您的数据库服务器需要与您的 Web 服务器位于同一数据中心内，否则性能会很差。

因此，最好将您的网站托管在 PCI 安全主机上，或者按照我的描述设置您的服务器。