pci-compliance - IT屋-程序员软件开发技术分享社区

如何保护 CFID 以实现 PCI 合规性?

我们一直未能通过 PCI 扫描，因为 ColdFusion 具有可预测的 CFID.我们得到的确切 FAIL 是“Predictable Cookie Session IDs".现在 CFTOKEN 不再可预测，因为我已将 CF 配置为对 CFTOKEN 使用 UUID，但是，CFID 仍然是可预测的，并且不受 CF Admin 中的任何更改的影响. 我真的不知道为什么可预测的 CFID 是 ..

发布时间：2022-01-09 14:52:29 cookies coldfusion application.cfc pci-compliance 其他开发

Android 4.1 到 4.4 KitKat - 为 API 启用 TLS 1.2

在尝试禁用 TLS 1.0 时，有 KitKat 设备需要访问我的 API.我尝试覆盖默认套接字工厂但没有成功.我尝试转换为 okhttp.还是行不通.如何让 Android KitKat 连接到我的 API? 解决方案我在 pre-lollipop 设备上遇到了同样的问题.由于我正在使用 Retrofit，这里是 OkHttp 的解决方案. Tls12SocketFactory. ..

发布时间：2021-11-27 12:41:02 android android-4.4-kitkat tls1.2 pci-compliance pci-dss 移动开发

如何通过加密文本执行通配符搜索?

我们有一个拥有大量用户的网站，并且由于PCI合规性问题，我们必须将其名称加密存储(我们使用河豚鱼).现在，我们需要通过“管理面板"中的名称来使用通配符搜索功能，而我们无法以“查询中"的方式对其进行解密. 存在哪些通用解决方案来解决此问题? 解决方案我可以想到两种可能的方法. 第一种方法是名称本身不是秘密的，但与名称相关联的数据是秘密的.您可以设置一个单独的搜索索引: 名称记 ..

发布时间：2021-05-04 19:39:10 encryption blowfish pci-compliance 其他开发

阻止Elastic Load Balancer显示内部专用IP

引起我注意的是，即使在私有子网中，ELB后面的ec2实例的内部IP也会在发出特定类型的请求时显示出来.特别是一个HOST值为空的 telnet site_url 80 GET / HTTP/1.0 返回的标头: HTTP/1.1 301 Moved Permanently Cache-Control: max-age=1209600 Content-Type: text/html; ..

发布时间：2020-07-08 09:03:57 security amazon-web-services amazon-elb pci-compliance 其他开发

如何将GCP存储桶中的文件标记为“所有人"为只读?

我们有一个存储桶，其中以JSON文件的形式存储了敏感数据.为了符合 PCI 的规定，我们必须将这些文件设置为只读. 版本将会在存储桶上启用，因此保留策略不能使用. 我尝试通过“只读"访问权限仅将一个帐户保留在存储桶权限中，这(不是真的)部分地达到了目的.但是具有“编辑者"或“所有者"角色的任何用户都可以编辑文件许可权，然后将其更改回“可编辑"并修改文件. 如何限制每个人都不能编辑或修改文件G ..

发布时间：2020-07-02 19:50:15 google-cloud-platform google-cloud-storage pci-compliance 其他开发

我可以存储不符合PCI标准的用户银行详细信息吗?

我们正在从事一个项目，该项目的本质是乘车共享，我读过有关PCI合规性的信息，我知道如果我们处理信用卡或付款，我们必须遵循PCI合规性的规定，我有点含糊不清，我们是否存储驾驶员银行信息像数据库中的帐号(已加密)，帐号标题等，我已经了解了谁必须符合PCI? “如果您接受客户的信用卡，那么您必须符合PCI规范".参考因此，如果我们仅存储银行帐号而不是信用卡我们必须要遵守PCI. ..

发布时间：2020-07-02 19:49:12 pci-compliance pci-dss banking 其他开发

贝宝保管库存储-安全地发送信用卡信息

我正在评估一些Payment Gateway选项，并且正在查看PayPal的保管库选项(类似于Braintree的保管库). 我发现，对于Braintree的保管库而言，我可以安全地(加密)发送信用卡信息以存储在他们的服务器上，从而避免了PCI合规性问题的发生. PayPal的保管库存储API是否具有发送加密的信用卡信息的类似方法?我正在查看他们的文档，似乎我需要将未加密的数据发送到他 ..

发布时间：2020-07-02 19:49:10 paypal credit-card pci-dss pci-compliance braintree 其他开发

服务器响应时，为什么FireFox和某些其他浏览器会更改地址栏中的URL

由于以下问题，本季度我很难满足PCI-DSS的要求. 当您在浏览器中键入以下内容时... http://www.mygarble.com/main/Community/Chat?command=CHAT_MESSAGE&displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22 ...它会做出响应，因此由于某种原因( ..

发布时间：2020-07-02 19:48:07 http firefox pci-dss pci-compliance 其他开发

零售销售点信用卡处理-卡存在.最小化PCI合规性要求

我正在为有一些非常特定需求的客户编写销售点应用程序.客户是一家零售商店，因此当他们处理信用卡时，他们会看到一张实物卡并可以刷卡.现在的方式是，在结帐时向收银员提供总计，然后收银员将总计密钥输入信用卡终端(手动-未连接到计算机)，在以下位置刷卡终端，然后在处理付款时，出纳员按“信用卡付款"，然后打印收据. 问题在于合计中的手动键输入非常耗时并且容易出错.我宁愿让我的程序将金额传输到信用卡终端， ..

发布时间：2020-07-02 19:48:04 terminal point-of-sale pci-compliance verifone 其他开发

请提供将通过PCI合规性扫描的Apache SSLCipherSuite

我正在尝试让运行Apache 2.2.17的Fedora 14服务器通过McAfee ScanAlert通过PCI-DSS遵从性扫描.我第一次尝试使用在ssl.conf中设置的默认SSLCipherSuite和SSLProtocol指令... SSLProtocol ALL -SSLv2 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LO ..

发布时间：2020-07-02 19:47:56 apache pci-dss pci-compliance 服务器开发

.NET中(对称)加密的最佳做法?

(在PCI，HIPAA或其他适用的合规性标准下)对SQL数据库中的某些敏感或个人身份数据进行加密的最佳做法是什么? 关于解决方案的各个方面，这里有很多问题，但是我还没有看到任何高层次讨论该方法的问题. 环顾了一段时间后，我想到了以下内容: 使用CryptoAPI和Rijndael 生成IV并将其与加密数据一起存储使用DPAPI(机器范围)“保护"对称密钥将对称密钥存储在注册表 ..

发布时间：2020-07-02 19:47:54 c# .net encryption encryption-symmetric pci-compliance C#/.NET

存储SEPA(IBAN和BIC)数据-是否需要PCI合规性?

我们希望使用银行业务API进行SEPA从我们的银行帐户到用户银行帐户的转帐.为此，用户需要在表格中输入其IBAN和BIC.我们获取这些数据(受SSL保护)，然后使用银行REST API进行汇款.如果收到“成功"响应，则会向用户显示一条消息，指示已将钱转入他的帐户. 在整个过程中，我们不会将IBAN或BIC存储在本地变量中的任何位置，也不会存储在数据库中.与fidor API的连接是安全的. ..

发布时间：2020-07-02 19:46:51 pci-compliance pci-dss iban 其他开发

Android 4.1至4.4 KitKat-为API启用TLS 1.2

在尝试禁用TLS 1.0时，有些KitKat设备需要访问我的API.我尝试覆盖默认的套接字工厂，但没有成功.我试过转换为okhttp.还是行不通.如何获取Android KitKat连接到我的API? 解决方案我在棒棒糖之前的设备上也遇到了同样的问题.当我使用Retrofit时，这是 OkHttp 的解决方案. Tls12SocketFactory.java: public ..

发布时间：2020-07-02 19:46:48 android android-4.4-kitkat tls1.2 pci-compliance pci-dss 移动开发

您如何确保小数据的数据安全性？

我的问题：确保小数据的数据安全的最佳方法是什么？下面，我提出了有关对称和非对称加密的问题。我很好奇，是否有一种方法可以对小数据进行非对称加密，而这种加密相当于某种“盐化”以使其真正安全？如果是这样，您如何选择“盐”并正确实施呢？还是有更好的方法来解决这个问题？我的关注的解释：在加密具有“大量”特征的内容时，在我看来，非对称加密方法非常安全。我担心的是如果我的数据字段很小， ..

发布时间：2020-06-02 20:02:08 security encryption aes salt pci-compliance 其他开发

我可以在Stripe上存储Stripe的cardID并保持PCI兼容性吗?

我有一个使用Parse作为后端的应用程序，并且具有Stripe集成.在Parse上，我将Stripe客户ID存储在我的User类上，并且我有一个自定义类，该类具有与之关联的费用令牌，以便客户可以创建服务请求，并且当提供者接受并满足该请求时，他们可以将费用发送到他们的收件人ID. 用户可以取消服务请求，或者提供者可以显示该用户的财产，并发现该财产由于各种原因而无法使用.在这种情况下，我们需 ..

发布时间：2020-05-24 23:30:23 parse-platform stripe-payments pci-compliance 其他开发

在Ubuntu 14.04中升级openSSH 7.2p

我有一台运行Ubuntu 14.04的服务器，但是PCI要求有问题.我已经在服务器中安装了OpenSSH 6.6p1，然后将其升级到OpenSSH 7.2p，并使用 make编译了代码，并直接从OpenSSH的存储库中进行安装，但是由于我继续获取，似乎有些问题了我检查dpkg -l openssh\*后的旧版本: ii openssh-client 1:6.6p1-2ubunt amd64 ..

发布时间：2020-05-21 02:06:03 ubuntu ssh upgrade openssh pci-compliance 其他开发

清理Tomcat访问日志条目

在我们的日志中，我们看到由于一些人使用CC信息点击了我们应用中的某些ULR而导致的信用卡号(我不知道他们为什么这样做).我们要对这些信息进行清理(由于PCI的考虑)，甚至不将其持久化到磁盘上. 因此，我希望能够在日志条目到达日志文件之前对其进行清理.我一直在寻找Tomcat Valves(Access Log Valve).这是要走的路吗? 解决方案我能够通过扩展 public l ..

发布时间：2020-05-03 06:40:37 security tomcat logging log4j pci-compliance 服务器开发

RequestFiltering不适用于MS-DOS设备名称路径

我正在努力安抚我们最近做过的PCI扫描失败，其中声明： Microsoft ASP.NET MS -DOS设备名称DoS 概要：远程Web服务器使用的框架具有拒绝服务漏洞。影响：远程主机上运行的Web服务器似乎使用Microsoft ASP.NET，并且可能受到拒绝服务漏洞的影响。请求包含MS-DOS设备名称的URL 可能导致Web服务器暂时无法响应。简而言 ..

发布时间：2018-07-17 19:30:52 asp.net iis iis-7.5 pci-compliance requestfiltering C#/.NET

Excel VBA使用正则表达式查找和屏蔽PAN数据，以符合PCI DSS

由于大多数在文件系统中发现信用卡数据的工具不再列出可疑文件，因此需要工具来屏蔽必须保留的文件中的任何数据。对于可能存在信用卡数据负载的Excel文件，我使用正则表达式在所选列/行中检测信用卡数据的宏，并用X代替中间6-8位将对许多文件有用。可悲的是，我不是正则表达式宏空间的上师。以下基本上只适用于3个卡牌的正则表达式，如果PAN与其他数据（例如注释字段）在一个单元格中，则工作原理 ..

发布时间：2017-09-07 05:57:49 regex excel vba excel-vba pci-compliance Office

如何确保CFID符合PCI标准？

我们的PCI扫描失败，因为ColdFusion有可预测的CFID。我们得到的确切失败是“可预测的Cookie会话ID”。现在CFTOKEN不再可预测，因为我已经配置CF使用UUID为CFTOKEN，但是，CFID仍然是可预测的，不受CF管理中的任何更改。我真的不知道为什么CFID是可预见的是一个威胁，但他们希望我们解决它。我已经无法找到任何东西通过googeling ，我真的不知道 ..

发布时间：2016-12-15 12:42:43 cookies coldfusion application.cfc pci-compliance 高性能WEB开发

pci-compliance相关内容