我一直致力于一个项目,其他开发人员开发了一个处理信用卡的应用程序。这就像客户打电话给代表,他收取信息并收取卡。我们需要存储卡的参考信息,以便我们在给他们打电话时能够快速再次充电。它很少发生,实际上是当客户使用在线表格打电话或下订单时。
当我检查数据库时。我很惊讶地看到他正在存储所有信用卡信息。好吧,不仅信用卡号码,他还保存到期日,ccv以及客户投入的所有内容。
这些都是未加密的,就在那里!我们根本没有保持那么多的监控/安全性。
我现在都很困惑。存放它们是否可以?我知道不是。他存储它们的原因是什么?
答案 0 :(得分:4)
这有点奇怪。为了允许处理信用卡数据,您通常必须通过外部PCI-DSS审核,该审核将检查系统的安全性,包括数据处理,加密和流程。
指南指出,此数据已加密。此外,您永远不会被允许存储CCV值。您应该与您的同事核实这是否都是犹太教徒。如果您的系统出现任何问题,您可能会遇到一些严重的(执法)问题。
我想今天存储数据的原因只是愚蠢。你应该尽快改变它!