目前我正在为客户建立一个在线商店(使用OpenCart)。所有付款和交易都通过支付网关(PayPal等)进行,因此网站永远不会存储付款信息(银行详细信息,卡号等)。
但是,我的客户仍然关注客户个人信息的安全性(地址,DOB,全名等)。我已经向他解释过使用SSL,客户端和服务器之间传输的任何数据都是加密的,并且不加密服务器上的个人信息是正常的(我指出即使像索尼那样大的公司也没有)
显然,加密MySQL的内容是完全可能的,但当然你仍然需要将密钥放在服务器上。如果有人进入服务器,他们也会获得密钥并简单地解密数据库内容。
关于更安全地存储个人信息,我还能做些什么吗?我是否缺少任何“行业技术”。我是否认为行业标准是以纯文本形式存储个人信息?
感谢。
答案 0 :(得分:1)
即使您没有严格要求,也要尝试为您的方案实现PCI合规性。这将让您的客户安心,并要求您遵循一些行业最佳实践。您还需要做的一件事就是扫描您的服务器 - 这将对服务器的安全性产生一些基本的信心。
PCI合规性不是安全性的保证。它基本上是锁定你的门并确保窗户关闭。
PCI合规性最重要的不是也无法检查您的webapp本身是否容易受到攻击。如果您的应用中存在SQL注入攻击向量(例如) )即使加密整个数据库并将其锁定在地下保险库中,您的数据也可能被盗。因此,attempts to attack it获得应用程序的自动化测试覆盖率。定期运行这些测试。
一些关于PCI合规性的随机谷歌指南:
请注意:如果您的网络服务器在任何阶段甚至触摸卡数据,那么必需符合PCI标准。仅仅因为您不存储 CC数据并不意味着PCI合规性不适用。合规水平将不那么严格,但仍然会有合规水平。
我不清楚PCI合规性是否适用于您的方案。基本上,如果客户直接在 paypal的网站上输入卡号,而您永远不知道卡号,则无需符合PCI标准。但是,如果他们将卡号输入您的网站,并且您的服务器通过API将该数据传递给Paypal,那么即使您不是, 也需要符合PCI标准存储他们输入的数据!