用于前端的PCI合规性（PCI DSS）

Question

我目前正在开发该项目，其中一项功能是电子商务，因此我们的系统应该考虑用户信用卡信息和其他凭证信息的安全性。

我知道任何处理用户付款卡信息的网络服务都应遵循PCI合规性（支付卡信息数据安全标准）。作为一名前端开发人员，我需要弄清楚我应该关注哪些PCI DSS部分并需要学习。

任何建议，引用或建议？

感谢您的帮助

Answer 1

PCI-DSS是相当复杂的，但在短期：大多数的规则应遵循有关后端处理和存储。一个关于前端的一点是要求3.3：显示时

面膜PAN（前六位和后四位是您可以显示数位 最大数量），这样只有被授权 人合法业务需求可以看到多于第一个 PAN的六位/后四位数字。这并不取代可能适用于显示持卡人数据的更严格的 要求，例如在销售点收据上的 。

但我认为在前端执行此操作是个坏主意。最好将已屏蔽的数据发送到前端，因为客户端上的所有内容都可以被操纵（例如，您通过javascript屏蔽了卡号，但在页面源中可找到整个号码）。

当然reuirement 4和：

4.1使用强大的加密和安全协议传输在开放的，公共 网络（例如互联网，无线技术，移动通信技术， 通用无线分组中保护敏感的持卡人数据服务[GPRS​​]，卫星通信）。确保 无线网络传输持卡人数据或连接到 持卡人数据环境使用行业最佳做法实施 强认证和传输加密。 （当使用 SSL /早TLS，在PCI DSS附录A2要求必须 完成。）

4.2从不发送由终端用户通讯技术不受保护的PAN（例如，电子邮件，即时消息，短信，聊天等）。

4.3确保相关安全策略和操作程序已记录在案，正在使用中并且已为所有相关方所了解。

请务必使用强传输层加密（TLS 1.2），并且只允许安全密码，以便从您的前端传输到后端的数据不会被嗅探网络的人读取。 您应该知道，前端的所有保护措施可能会受到脏PC的破坏，这意味着受特洛伊木马病毒和其他恶意软件感染的PC。这主要由需求5覆盖。

5.1在所有受恶意软件（特别是个人计算机和服务器）影响的系统上部署防病毒软件。对于不受恶意软件影响的 系统，请执行定期的 评估来评估不断变化的恶意软件威胁，并确认此类系统是否继续不需要防病毒软件。

5.2确保所有防病毒机制保持最新状态，执行定期扫描，生成审核日志，并根据PCI DSS 保留要求10.7。

5.3确保反病毒机制正在积极运行，并且不能被用户禁用或更改，除非在一定时间内根据具体情况进行个案管理。

5.4确保相关安全策略和操作程序已记录在案，正在使用中并且已为所有相关方所了解。

最后：确保您让您的应用程序在需要时进行托管。