プライベートデータを格納するセキュリティリスク

Question

パスワード、クレジットカード情報など、アプリケーション内の機密データを処理する必要があります。 セキュリティリスクにはどのようなものがありますか？それが格納されていて、私は情報に可逆暗号化のいくつかのフォームを実行するために傾けられる

Answer 1

• は、クレジットカード情報は、（いくつかの法域では、あなたがそうすることによって、法律を破る、あるいは少なくとも、商業契約のファウルを落下される可能性があります）

• を保管しないでくださいあなたはどこ言うことはありません機密データは保存されますが、それを暗号化するのが通常の方法です。対称と非対称の2つの形式があります。対称鍵とは、暗号化と復号化に同じ鍵を使用することを意味します。非対称は、公開鍵/秘密鍵のペアで構成されます。

• パスワード：パスワードの塩漬けされたハッシュ（つまり、元に戻すことができない）のみを保存し、同様に塩漬けされた入力パスワードのハッシュと比較します。

Answer 2

、のようなもの：あなたのアプリケーションの性質上

$card = myEncryptionFunction($input); 

少しより多くの情報は、しかし損はありません。

Answer 3

私は、データベースデータに対して可逆暗号化を使用しています。このデータがログファイルにも浸透しないようにし、代わりに派生情報を記録してください。さまざまな環境をどのように処理するかを検討してください。通常、あなたはではなく、のテスト環境で実動データを使用します。したがって、実動データをテストシステムにコピーすることを検討するかもしれませんが、おそらく敏感な部分のために偽のデータを生成するべきです。

Answer 4

実際にクレジットカード情報をウェブサーバー上の任意の図形やフォームに保存しないでください。私のバックグラウンドでのWeb環境でこれを行う上での情報の

ビット：

ウェブサイト（または任意のアプリケーション）がカード情報を格納する必要がある場合は、PCI DSS（ペイメントカード業界データを遵守しなければなりませんセキュリティ基準）。とりわけ、公開されていない別のサーバー（IEはサイトをホストしていない）でデータを暗号化し、Webサーバーとの間に別個のファイアウォールを置く必要があります。守秘義務違反に対する罰金は、セキュリティ違反に続く不正行為が発生した場合には、潜在的に非常に大きく、それらの措置を中止することもできます。詐欺からの損失を非法人として解釈）その上に

よりここに：明らかhttps://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

、これはあなたがすぐに二つのサーバとギアのネットワークの負荷を必要とするように、共有ホスティングに比べて高価になることがあります。だからこそ、人々はしばしばこれをやりません。

Answer 5

これまでは、特にCVV2の情報をデータベースに保存しないようにして、可能な限り避けてください。

CC + CVV2を保存する場合、非対称暗号化を使用して、別のサーバーに秘密鍵を格納することを検討してください。そうしないと、99％のデータにアクセスできる攻撃者が鍵にアクセスでき、暗号化全体が無意味になります。

パスワードは一方向ハッシュとして保存する必要があります。

これらすべての後、あなたのアプリケーションは、SQL Injecitonなどの脆弱性に対して安全であることを確認する必要があり、リモートでコードが実行されるなど

は、攻撃者が以前のデータを読み取ることができない場合でも、彼らが植えることができます忘れないでください次のデータのバックドア。