[英]Internal Vulnerability Scan and Pen testing on Elastic Beanstalk for PCI DSS
我們目前正在構建一個符合 PCI DSS 1 級標准的平台,該平台將僅在 Elastic Beanstalk (Linux AMI) 上運行一個應用程序服務器。 Elastic Beanstalk 實例將駐留在私有子網中,將通過 VPC 鏈接連接到 AWS API 網關,並將通過 AWS NAT ...
[英]Internal Vulnerability Scan and Pen testing on Elastic Beanstalk for PCI DSS
我們目前正在構建一個符合 PCI DSS 1 級標准的平台,該平台將僅在 Elastic Beanstalk (Linux AMI) 上運行一個應用程序服務器。 Elastic Beanstalk 實例將駐留在私有子網中,將通過 VPC 鏈接連接到 AWS API 網關,並將通過 AWS NAT ...
[英]When tokenizing credit card information, does it make sense tokenize every credit card attribute in order to be PCI compliant?
例如,如果信用卡具有以下屬性: 名 姓 信用卡號 變異系數 到期 僅對信用卡號進行標記是否足以符合 PCI 標准? 相應地,如果對 ACH 詳細信息進行標記,則詳細信息包括: ACH路由 ACH 銀行名稱 ACH帳號 僅對帳號進行標記是否足以符合 PCI 標准? ...
[英]Is TLSv1.3 recommended today in production
安全指南(PCI-DSS、NIST、www.ncsc.gov.uk、法語 ANSSI..)state 應該只允許 TLSv1.2,並且應該禁用 TLSv1.0 TLSv1.1。 沒有對 TLSv1.3 給出任何明確建議的安全指南。 我的理解是,TLSv1.3 因此不應該為生產系統激活,直到它被管理 ...
[英]Is Azure Front Door PCI-DSS Compliant?
Azue Front Door 支持 TLS 版本 1.0、1.1 和 1.2。 目前不支持從 Azure 前門中刪除 TLS 版本 1.0、1.1。 PCI 標准要求協議 TLS 1.0、1.1 不能再用於安全通信。 那么您能否告知 Azure 前門 PCI-DSS 是否兼容? ...
[英]Is Google Cloud Storage PCI compliant?
這是Google Cloud Platform:客戶責任矩陣 。 該文檔基本上介紹了所有PCI DSS要求,並說明了GCP完成的工作以及客戶應完成的工作。 本文檔聲明Google Cloud Storage適用於PCI DSS。 此 GCP鏈接指出:“ 要求3.4規定PAN在存儲的 ...
[英]Is this set-up PCI DSS compliant?
設定: Mobile使用Stripe獲取信用卡令牌。 Mobile將令牌發送到Server 1 。 Server 1使用令牌獲取信用卡詳細信息。 Server 1對細節進行加密,並通過SSL連接將其發送到PCI DSS合規Server 2 。 Serve ...
[英]Stripe retrive customer API also retrives card info (PCI ompliance)
我在Stripe with Elements中創建了客戶。 現在,我需要檢查客戶是否在我的Web應用程序中(存在axios請求)。 據我所知,檢查客戶是否存在的唯一方法是找回他: https ://stripe.com/docs/api/customers/retrieve。 由於PC ...
[英]How to make Google Cloud SQL Instance PCI compliant?
我正在保護我的Google Cloud SQL實例兼容PCI DSS,但是當我掃描服務器時,我在端口3307上收到嚴重警告,指出不允許接受TLSv1.0。 在哪里可以將TLS版本升級到至少1.2? 或如何在Cloud SQL中禁用3307端口? 我已經嘗試使用防火牆規則阻止端口3307 ...
[英]Firebase Hosting PCI Compliance
我們已經構建了一個Web應用程序平台,將Firebase作為技術的中心,此時當我們需要提交PCI DSS時,我們的系統未通過測試,因為它都是基於Firebase構建的。 請告訴我firebase托管是PCI兼容的。 我的報告通過了除反向代理測試之外的所有測試。 這可以解決,或者我們需要花費 ...
[英]Can I store user bank details without PCI compliance?
我們正在從事一個項目,該項目的本質是乘車共享,我讀過有關PCI合規性的信息,我知道如果我們要處理信用卡或付款,我們必須符合PCI合規性的要求,我有點含糊不清嗎? (已加密),數據庫中的帳戶標題等,我已經閱讀過 誰必須符合PCI? “如果你從你的客戶接受信用卡,那么你一定是PCI兼容” 參 ...
[英]Collecting card data PCI level
我們想要集成第三方服務,關於支付、他們的 API 等待 PAN 和到期日期,我們需要確定我們需要什么 PCI 級別? 所以,我們只是在客戶端收集這些數據,將它們發送到我們的服務器,服務器將向他們發送數據,我們不將其存儲在數據庫中。 ...
[英]RDP Fails PCI-DSS Scan
由於設置RDP時Microsoft Server(2012 R2)生成的默認自簽名證書,RDP無法通過PCI-DSS掃描(端口3389)出現問題。 我需要配置RDP以使用受信任的證書。 我該怎么做? 我找不到任何可以解釋該操作方式的信息。 R /普雷斯科特.. ...
[英]How to generate Master Pass Merchant ID/Merchant PAN
我正在進行Masterpass QR集成,這是一種掃描付費功能,將有一個用戶和一個商家。有人可以讓我知道在Masterpass QR中生成商家PAN的步驟或算法。 ...
[英]Sending CC number to server with HTTPS without storing in DB
我有一個服務器和一個在 Web 瀏覽器中運行的客戶端應用程序。 我知道最好讓客戶直接向支付處理器發出請求(通過所謂的支付頁面) 話雖如此,我想知道在安全性和 PCI 方面是否被認為可以,通過加密的 HTTPS 傳輸將 CC 信息發送到服務器,服務器將數據發送到支付處理器而不保存 CC 信息 我在 ...
[英]How to make Certbot disable a certain cipher
我正在使用Let'sEncrypt的證書。 為了保持與PCI DSS標准的兼容性,我在conf文件中為nginx禁用了對Triple DES(3DES)密碼的支持。 但是Certbot然后指出,如果我手動更改conf文件,它將不會自動執行證書續訂過程。 更糟糕的是,certbot的文檔未提 ...
[英]Using Google Cloud Function to get around PCI certification?
我正在使用Web應用程序,在該應用程序中我將必須接收信用卡詳細信息,但僅是為了使我可以將這些詳細信息傳遞給已配置的付款處理器,並接收將存儲的卡ID /令牌。 通常,這是在前端通過JS請求直接執行到付款處理器的操作,該處理程序將返回隨機數,然后后端執行其工作。 但這不是我的情況。 即 ...
[英]How to process credit cards without PCI DSS on backend
我有一個JS前端,可以通過REST API與后端進行通信,並且我需要處理信用卡。 我不想深入研究PCI DSS的全部合規性,也不需要,因為我使用的是提供令牌化的第三方提供商(Stripe,Braintree ..)。 但是我的問題是我不希望JS前端處理CC詳細信息的標記化,但我希望前端將 ...
[英]CryptoStream forces me to leak sensitive data into RAM
所以這是我的目標: 將byte[]解密為固定的byte[]緩沖區。 我不希望純文本存在於內存中的任何其他地方,超出我控制的固定byte[] 。 我怎樣才能在 C# 中做到這一點? 我天真地使用了CryptoStream類。 但這需要我給它一個輸出流。 我必須。 所以我繼續給它一個Me ...
[英]Android 4.1 to 4.4 KitKat - Enable TLS 1.2 for API
在嘗試禁用 TLS 1.0 時,有些 KitKat 設備需要訪問我的 API。 我嘗試覆蓋默認套接字工廠但沒有成功。 我曾嘗試轉換為 okhttp。 還是不行。 如何讓 Android KitKat 連接到我的 API? ...
[英]AWS Serverless PCI-DSS Compliance
我最近注意到,亞馬遜通過了API網關和Lambda PCI-DSS認證。 我想知道關於隔離網絡考慮意味着什么,特別是: 是否將Amazon Lambda執行視為受防火牆保護的隔離網絡? Amazon Lambda是否滿足服務器IP屏蔽屬性? 本質上,我會: ...