【发布时间】:2015-01-18 11:06:54
【问题描述】:
我们的应用程序需要通过 FTP 接口处理来自外部系统的带有信用卡信息(假设信用卡号)的文件。这是一个平面文件(文本)。我们需要根据一些业务规则对数据进行处理,然后通过 FTP 接口将其转发到另一个外部系统。此外,我们的应用程序需要保留入站文件和出站文件的副本。
那么,为了符合 PCI-DSS 指南,使用 GnuGP 加密文件是否足够,还是我们需要单独加密数据元素(如 CC 编号)然后加密文件?
感谢和问候, 圣
【问题讨论】:
-
我认为这可能是题外话,因为它是关于法律问题而不是软件开发。
-
就 PCI-DSS 而言,不需要单独加密元素。您不能使用 FTP,至少使用 SFTP/FTPS。您正在进入卡存储领域,这个问题涉及您需要做的 0.5% 的合规工作,仅与您的第 3 方进行密钥管理将是一项繁重的工作。
-
非常感谢亚历克斯。据我了解,GnuGP 不符合 PCI DSS,因为拆分密钥管理是一个问题。我的理解正确吗?
-
或者 gpgsplit 会为我施展魔法
标签: java encryption pci-dss openpgp