私は現在プロジェクトに取り組んでおり、その機能の1つは電子商取引であり、システムはユーザーのクレジットカード情報やその他の資格情報のセキュリティを確保する必要があります。フロントエンド用のPCIコンプライアンス(PCI DSS)
私は、ユーザーの支払いカード情報を扱うウェブサービスは、PCIコンプライアンス(支払いカード情報データセキュリティスタンダード)に従う必要があることを知ります。フロントエンドの開発者として、私は焦点を当てて学ぶ必要があるPCI DSSのどの部分を理解する必要があります。
提案、参考、アドバイスはありますか?ヘルプ
PCI-DSSのための
おかげで非常に複雑ですが、簡単に言えば:ルールのほとんどは点のバックエンド処理とストレージを従うべき。フロントエンドについてのポイントの一つは、要件3.3です:表示されたとき(6最初と最後の4桁はあなたが表示されることがあり桁の 最大数です)
マスクPAN、唯一の合法的で 人々を許可するようにビジネスの必要性は、最初の 以上の6つのPANを見ることができます。これは、カード所有者データの表示のためにより厳格な 要件に代わるものではなく、ポイントオブセールの領収書などの の要件に代わるものではありません。
しかし、フロントエンド側でこれを行うのは悪い考えです。クライアント側のすべてを操作できるように、マスクされたデータをフロントエンドに送る方がよい(たとえば、javascriptを使用してカード番号をマスクするが、ページソースでは番号全体を見つける)。
そしてもちろんのreuirement 4の:
4.1を使用する強力な暗号化とセキュリティプロトコルのオープンを介して送信する時に敏感なカード会員データを保護するため、公共 ネットワーク(例えば、インターネット、無線技術、携帯電話技術、 汎用パケット無線サービス[GPRS]、衛星通信)。 カード会員データを送信するワイヤレスネットワークまたは カード会員データ環境に接続するワイヤレスネットワークが、認証と送信のために強力な暗号化を実装するための業界のベストプラクティスを使用するようにします。 ( SSL /早期TLSを使用する場合には、PCI DSSの付録A2における要件は を完了する必要があります。)
4.2は、例えば(電子メール、インスタントメッセージング、SMSをエンドユーザメッセージングテクノロジによって保護されていないのPANを送信することはありません、チャットなど)。
4.3関連するセキュリティポリシーと運用手順が文書化され、使用され、影響を受けるすべての関係者に知られていることを確認します。
強力なトランスポートレイヤ暗号化(TLS 1.2)を使用し、フロントエンドからバックエンドに転送されたデータがネットワークを盗聴する者に読み取られないようにすることをお勧めします。 フロントエンド側のすべての保護作業は、トロイの木馬やその他のマルウェアに感染したPCを意味する汚れたPCによって損なわれる可能性があることに注意してください。これは主に要件5でカバーされています。
5.1悪意のあるソフトウェア(特にパーソナルコンピュータやサーバー)の影響を受けるすべてのシステムにアンチウイルスソフトウェアを展開します。 システムが悪意のあるソフトウェアによって一般的に影響を受けない場合は、定期的に の評価を行い、進化するマルウェアの脅威を評価し、 のシステムにアンチウイルスソフトウェアが必要ないかどうかを確認してください。
5.2すべてのウイルス対策メカニズムが最新の状態であることを確認し、定期スキャンを実行し、監査ログを生成します。これはPCI DSS 要件10.7に従って保持されます。
5.3限られた期間、ケースバイケースで管理することが特に許可されている場合を除き、アンチウィルスのメカニズムがアクティブに実行されていることを確認してください。
5.4関連するセキュリティポリシーと運用手順が文書化され、使用され、影響を受けるすべての関係者に知られていることを確認します。
最後に、必要なときにアプリケーションが誤って認識されるようにしてください。
セキュリティエンジニアとあなたの会社の弁護士に相談してください。 – zerkms