-1
我开发一个Android应用程序必须是PCI PA-DSS合规,我的问题是关于PA-DSS_v3-1文件帐户密码传输和PCI DSS合规
3.3.1使用在此要求强大的加密功能可以在传输过程中使所有支付应用密码无法读取。
比方说,我在我的应用程序中有一个“更改您的密码”功能,该功能通过ssl/tls加密连接将服务器的用户帐户密码发送出去。这种加密是否足以符合要求?在通过SSL发送之前是否需要实施某种加密?
谢谢。
A
回答
0
PCI标准有时可能会模糊不清,有点“开放式”,但从我们的经验来看,它的确如你所愿。
SSL/TLS是加密,只是将它用于您的遗忘密码功能,你会没事的。
+0
似乎“传输期间”这个短语似乎允许SSL/TLS安全传输媒体。但是安全认证是必要的,也就是确保没有MITM攻击。如果无法保证MITM攻击,则SSL/TLS不安全。通常,这种身份验证可以通过证书锁定来完成,即验证每个方的正确证书。 – zaph
相关问题
- 1. AWS无服务器PCI-DSS合规性
- 2. WebBrowser和PCI DSS
- 3. 用于前端的PCI合规性(PCI DSS)
- 4. 了解支付网关,SSL和PCI DSS合规性检查 - PHP
- 5. Pci-Dss政策和程序
- 6. 关于CentOS/PCI DSS合规性的CVE-2011-1092
- 7. Kubernetes及搬运工人容器PCI DSS合规
- 8. 我必须符合PCI DSS吗?
- 9. PCI DSS和释放部署自动化
- 10. PCI DSS安全 - SRED保护
- 11. PCI/DSS:静态数据
- 12. PCI - 卡片数据传输
- 13. 按照PCI-DSS要求8在AWS中的帐户锁定策略
- 14. PCI合规性apache版本
- 15. 云中的PCI合规Azure
- 16. Braintree使用定制的用户界面和PCI合规性
- 17. SQL Server 2008 + PCI合规性?与PCI相关,以及对称密钥!
- 18. CakePHP:请求用户在输入帐户时输入密码
- 19. 谷歌云的PCI-DSS认证
- 20. 将聚合物和firebase的匿名帐户合并到电子邮件和密码帐户中
- 21. Drupal/Ubercart英国支付不需要符合PCI DSS的网关
- 22. 哪些SSL密码适用于Amazon AWS ELB上的PCI合规性?
- 23. 存储帐户/密码
- 24. 在“帐户和密码”下的首选项中保存密码
- 25. PCI合规性:使用SSL作为RDP(终端服务)的传输层
- 26. Java - > LDAP帐户密码加密
- 27. 修改登录到Windows帐户时用户输入的密码
- 28. PHP,PCI合规问题:如何?
- 29. PCI合规性的成本是多少?
- 30. Payflow链接需要PCI合规吗?
一只小鸟告诉我需要额外的加密,但在文档中没有看到它。但我可以在[密码破解时间](https://www.pcisecuritystandards.org/pdfs/its_time_to_change_your_password_infographic.pdf?agreement=true&time=1467522615644)上保留PCI建议是纯BS,似乎他们不知道[密码列表] (https://github.com/danielmiessler/SecLists/tree/master/Passwords)或[破解工具](http://resources.infosecinstitute.com/10-popular-password-cracking-tools/)。 – zaph