PCIコンプライアンスとPHP開発への影響を理解する

PCIは「支払いカード業(yè)界」の略ですが、多くの人にとって、疑いを持たない魂を重い法律と法的紛爭で埋めることを目的とした秘密の國際カルテルによって課される曖昧な基準(zhǔn)のセットです。真実ははるかに退屈です。実際、PCIは、クレジットカード會社と業(yè)界のセキュリティ専門家の連合によって開発された一連のセキュリティガイドラインであり、クレジットカード情報(bào)を処理する際にアプリケーションの動作を規(guī)制しています。クレジットカード會社は、これらの基準(zhǔn)を銀行に課し、銀行は電子商取引ウェブサイトを運(yùn)営している私たちに課します。この記事では、PCIに関する永続的な誤解を削除し、20,000フィートの高さからPCIについて學(xué)び、一般的なコーディングとPHPに関連する要件に焦點(diǎn)を當(dāng)てます。

キーポイント

• PCI（支払いカード業(yè)界）標(biāo)準(zhǔn)は、クレジットカード會社とセキュリティの専門家によって開発されたセキュリティガイドラインであり、アプリケーションがクレジットカード情報(bào)またはデビットカード情報(bào)を処理する方法を規(guī)制しています。それらは、小規(guī)模のeコマースサイトを含む、支払いのためにクレジットカード情報(bào)を受け入れるすべての人に適しています。
• PCI標(biāo)準(zhǔn)には、安全なネットワークの構(gòu)築と維持、カード所有者データの保護(hù)、脆弱性管理手順の維持、強(qiáng)力なアクセス制御メカニズムの実裝、ネットワークの定期的な監(jiān)視とテスト、情報(bào)セキュリティポリシーの維持など、12の基本的な要件が含まれています。
• PHP開発者は、クレジットカードデータを処理するアプリケーションを作成する際に、これらの標(biāo)準(zhǔn)に準(zhǔn)拠する必要があります。これには、ベンダーのデフォルトのプロファイルまたはパスワードを使用せず、保存されたカード所有者データの保護(hù)と暗號化、安全なシステムとアプリケーションの開発、アクセスの制限、およびリソースとデータへのすべてのアクセスの追跡と記録が含まれます。
• PCI標(biāo)準(zhǔn)はセキュリティガイドラインとアイデアを提供しますが、それらは特定のテクノロジーではなく、ハッカーから保護(hù)されることを保証することはできません。ただし、これらの基準(zhǔn)を順守することで、セキュリティ侵害の可能性を減らし、會社の法的および消費(fèi)者のステータスを改善することができます。
• PCI標(biāo)準(zhǔn)のコンプライアンスは1回限りのタスクではなく、継続的な注意と年次レビューが必要です。開発者は、PCIセキュリテ?；鶞?zhǔn)委員會のウェブサイトおよび関連するセキュリティニュースレター、ブログ、トレーニングプログラムを通じて、最新のPCI要件とセキュリティベストプラクティスを通知する必要があります。

PCIの誤解不思議ではありませんが、PCI標(biāo)準(zhǔn)の周りには多くの誤解があります。誤解の1つは、それらがどこにも書かれていないマフィアの行動規(guī)範(fàn)のようなものであるため、あなたが望む方法で解釈できるということです。もちろん、これは間違っています。 PCI標(biāo)準(zhǔn)の完全な説明を?qū)Wぶには、pcisecurityStandards.orgにアクセスしてください。もう1つの誤解は、PCIの安全基準(zhǔn)が銀行や大規(guī)模な小売業(yè)者などの「大企業(yè)」にのみ適用されることです。彼らは、商品の支払いにクレジットカード情報(bào)を受け入れるすべての人に適しています。お母さんが有名なレモンパイを販売するためにPHPウェブサイトを書いた場合、PCIガイドラインに合ったシステムがあります。 3番目の誤解は、PCI標(biāo)準(zhǔn)に従うと、悪意のあるハッキングから保護(hù)され、データが安全に保護(hù)されることです。もちろん、これは良いことですが、真実は、PCI標(biāo)準(zhǔn)は特定のテクニックではなく、ガイドとアイデアであるということです（すべてのアーキテクチャとプラットフォームに適合するには曖昧でなければなりません）。明らかに、セキュリティに集中すればするほど、攻撃される可能性が低くなりますが、誰でも攻撃される可能性があります。少なくともPCIの期待に応えようとした場合、あなたのレビューは法律と消費(fèi)者の両方の點(diǎn)でより良くなります。最後に、PCIは1つだけで達(dá)成できるものではなく、深呼吸をします。この標(biāo)準(zhǔn)では、年に一度PCIレビューを行う必要があるため、品質(zhì)保証作業(yè)や配偶者の聴取、継続的な作業(yè)のようなものです。単純な事実は、PCIは、サイズに関係なく、クレジットカードデータを処理する必要があるアプリケーションに取り組むすべてのプログラマーが知っているものです。はい、それがディーラーが現(xiàn)金のみを集める理由です。

PCIの基本

PCI標(biāo)準(zhǔn)は、12の基本要件で構(gòu)成されています。標(biāo)準(zhǔn)は約2年ごとに更新され、その間にPCI世界のサブセットを扱うさまざまなより具體的なガイドファイルが公開されています。たとえば、2013年2月、PCIスタッフはPCIとクラウドコンピューティングについて議論するホワイトペーパーを発行しました。これらの特別なレポートは、PCI Webサイトからも入手できます。ご覧のとおり、多くのPCI要件はネットワーク関連のものですが、完全なPCIの基本的な理解がない場合、これらのことについて話すポイントは何ですか？これらの要件は次のとおりです

• エリア1 - 安全なネットワークを確立して維持する要件1 - 環(huán)境を保護(hù)するためにファイアウォールをインストールします。
  • 要件2 - ベンダーのデフォルトプロファイルまたはパスワードを使用しないでください。
エリア2 - カード所有者データを保護(hù)します
• 要件3 - 保存されたカード所有者データを保護(hù)します。
  • 要件4 - オープンパブリックネットワークで送信されるカードホルダーデータを暗號化します。
エリア3 - 脆弱性管理手順を維持
• 要件5 - 使用して、ウイルス対策ソフトウェアを定期的に更新します。
  • 要件6-安全なシステムとアプリケーションを開発および維持します。
エリア4 - 強(qiáng)力なアクセス制御メカニズムを?qū)g裝
• 要件7 - 理解する必要がある原則に基づいて、カード所有者データへのアクセスを制限します。
  • 要件8 - コンピューターにアクセスできる各人に一意のIDを割り當(dāng)てます。
  • 要件9 - カードホルダーデータへの物理的アクセスを制限します。
エリア5 - 定期的な監(jiān)視とテストネットワーク
• 要件10 - ネットワークリソースとカード所有者データへのすべてのアクセスを追跡および監(jiān)視/記録します。
  • 要件11 - 安全システムとプロセスの定期的なテスト。
エリア6 - 情報(bào)セキュリティポリシーを維持
• 要件12-情報(bào)セキュリティに対処するためのポリシーを維持します。
これらのプロジェクトの一部は、ポリシーの決定、つまり、カード情報(bào)を保護(hù)し、ネットワークとアプリケーションの全體的なセキュリティを確保するためにどのように働くかを明確に述べる決定に関連しています。他の要件は、ネットワーク自體と、それを保護(hù)するために使用できるソフトウェアに関係しています。それらのいくつかには、プロセスの設(shè)計(jì)フェーズ、アプリケーションの構(gòu)築とセットアップの設(shè)計(jì)が含まれます。コードに関連する要件はほとんどありません。また、安全を保つことを推奨する特定のプログラミング手法を説明する要件はありません。長さを比較的短くするために、皮肉と知恵（70:30の比率）を制限し、最後の2つのグループに焦點(diǎn)を當(dāng)てます。

要件2-ベンダーのデフォルト構(gòu)成ファイル/パスワードを使用しないでください

多くの點(diǎn)で、これはほとんど自明です。私たちがこれらのことを心配し始めて以來、警備員はこれを私たちに言ってきました。しかし、使用するソフトウェアの多く（MySQLなど）でデフォルトのアカウントとパスワードを使用するのがどれほど簡単か（特に最初に何かをインストールし、すべてが「テスト」?fàn)顟B(tài)にある場合）。ここでの危険は増加します。なぜなら、私たちのほとんどは、すべてをゼロから行うのではなく、いくつかの基本的なソフトウェアを中心にアプリケーションを構(gòu)築するためです。暗號化とキーストレージを処理するために使用するパッケージ（以下を參照）であるか、アプリケーション全體のフレームワークである可能性があります。いずれにせよ、覚えやすく、実裝しやすい：デフォルトのアカウントを使用しないでください。

要件3-保存されたカード所有者データを保護(hù)します

私が覚えているほとんどの有名な小売ウェブサイトのハックでは、ウェブサイトによって保存されたカードやその他のデータが含まれていたので、これをPCI標(biāo)準(zhǔn)の最も重要な部分としてリストしました。明らかに、保存するカードデータはすべて暗號化する必要があります。そして、暗號化の良い仕事をする必要があります。暗號化を非常によく知っている人にとっては、データ暗號化の良い仕事をすることは、暗號化キーをうまく管理していることを意味します。キー管理は、暗號化プロセスで使用されるキーの生成、保存、および更新の問題を中心に展開します。それらを保存することは、誰もシステムに入ってキーを盜むことができないようにしたいので、大きな問題になる可能性があります。管理戦略は、キーを複數(shù)の部分に分割する方法が異なります。深い。もちろん、商用製品を使用して暗號化を処理する場合は、主要な管理をそれらに任せることができますが、プロセスが信頼できることを確認(rèn)し、アプローチに合っていることを確認(rèn)することができます。ほとんどの商用製品はPCIを念頭に置いて開発されているため、PCI標(biāo)準(zhǔn)に従って構(gòu)築されますが、これはまだ二次検査の実行を妨げません。さらに、保存するデータの量を最小限に抑えたり排除したりすると、データを保護(hù)するタスクがはるかに簡単になります。つまり、カード所有者のデータは、名前、誕生日、カード番號、有効期間、カード検証（CV）コード（カードの背面または前面の3桁または4桁）などです。保存するアイテムが少ないほど、暗號化する必要が少なくなり、責(zé)任が少なくなります。幸いなことに、これはPCI標(biāo)準(zhǔn)のかなり具體的な領(lǐng)域であり、保存できないデータを明確に定義します。カード番號（PAN - メインアカウント番號）、カードホルダー名、有効期限、およびサービスコードを保存できます。パンを保存する場合は、表示したい場合はブロックする必要があり、最初の6桁と最後の4桁のみがせいぜい表示されます。ピン、CVコード、または磁気ストライプの內(nèi)容物全體を保存することはできません。設(shè)計(jì)段階で自問しなければならない質(zhì)問は、あなたが本當(dāng)に維持したいこの迷惑なデータのどれだけの量です。それを維持する唯一の本當(dāng)の理由は、次回は顧客に簡単な體験を提供したいということです。誕生日を迎えることができ、誕生日にフレンドリーな小さな招待狀を送ることができます。このすべてのデータは暗號化され、保護(hù)されている必要があるため、信頼できる商業(yè)用途を取得してください。要件4（送信されるデータを暗號化する）はこの部分の一部と見なされますが、インフラストラクチャの一部と見なされ、詳細(xì)は説明しません。

要件6-安全なシステムとアプリケーションの開発と維持

これはコード関連の要件です。特定の機(jī)能やクラスをターゲットにしていませんが、少なくとも一般的な安全基準(zhǔn)に従って、できるだけ安全にするようにしてください。そのため、アプリケーションが明らかな攻撃に対して脆弱にならないコーディングテクニック（言語に関係なく）を使用するだけです。たとえば、フォームデータを受け入れるときに予防措置を講じることにより、SQL注入を防ぎ、XSSなどをブロックしようとします。より一般的なセキュリティの問題のいくつかを避ける詳細(xì)については、SitePointに投稿された他の記事（この記事とこの記事、および「安全」を検索する場合に見つけることができる他の記事を參照してください。

には7と8が必要です - 制限付きアクセスと一意のID これらの両方は、アプリケーションにアクセスする方法に関連しているため、コーディングとデザインの間のどこかにあります。各訪問者に一意のIDを持たせることを要求することは問題ありません。私はあなたがこれを行うことを可能にするいくつかのウェブサイトを考えることができますが、それはそれ自體が悪ではありませんが、グループプロファイルを使用することは危険であり、彼らがあまり許可を持っていないことを確認(rèn)するために特に注意する必要があります。一般的に言えば、IDが保存したIDでなくても、一意のIDを設(shè)定するようにしてください。たとえば、人にゲストとしてログインすることもできますが、すぐにバックグラウンドでイベントの一意の構(gòu)成ファイルを作成します。また、カードホルダーデータへの物理的アクセスを制限したいと考えています。これは未來のヒントかもしれません。アイザック?アシモフの素晴らしい旅のような人々をサブミクロスピックサイズに縮小し、それらをストレージデバイスに注入して、カードデータ0の1と1を取得するか、または関連する可能性がありますサーバールームをロックし、すべての訪問者のバッジに、バックアップテープなどに近づくことができません。

要件10-リソース/データへのすべてのアクセスの追跡と記録

最後に、リソースやカード所有者のデータにアクセスするすべてのものを追跡および記録することの重要性を過小評価しないでください...私はすべてを意味します。記録する必要があるイベントには、ログイン、ログアウト、データの更新が含まれます。毎日ログをチェックする安全なログを?qū)g裝して問題を見つけ、1年間ログを保存する必要があります。 PHPユーザーの場合、PHP-FIGグループのPSR-3ロギング標(biāo)準(zhǔn)に精通していることは有益です。これは、ロギングをセットアップする統(tǒng)一された柔軟な方法を提供します。ここで深く飛び込むのではなく、パトリック?マルベイの入門記事を読むことをお勧めします。

概要

私が本當(dāng)に強(qiáng)調(diào)したいことの1つは、PCIがケーキのアイシングではないということです。これは、クレジットカードデータを使用するアプリケーションを作成する基本的な部分です。この種のデータを受け取るアプリケーションを書いている場合、顧客が知っているかどうかに関係なく、それはあなたのために機(jī)能します。コンテンツのほとんどはエンコードレベルを上回っていますが、それは本物であり、それでもあなたはそれに注意を払う必要があります。 Fotoliaの寫真

PCIコンプライアンスとは何ですか？なぜPHP開発者にとって重要なのですか？

PCIコンプライアンスとは、クレジットカード情報(bào)を受け入れ、処理、保存、または送信するすべての企業(yè)が安全な環(huán)境を維持するように設(shè)計(jì)された一連のセキュリティ基準(zhǔn)である、支払いカード業(yè)界のデータセキュリティ基準(zhǔn)（PCI DSS）のコンプライアンスを指します。 PHP開発者の場合、PCIコンプライアンスの理解と実裝は、顧客の機(jī)密データを保護(hù)し、データ侵害のリスクを減らし、ユーザーとの信頼を築くのに役立つため、重要です。規(guī)制に従わないと、罰金、罰金、さらには支払いを処理する能力の損失につながる可能性があります。

PHP開発者はどのようにしてPCIコンプライアンスを確保しますか？

PHP開発者は、いくつかの重要なステップを通じてPCIコンプライアンスを確保できます。これらの手順には、一般的な脆弱性を防ぐために安全なコーディングプラクティスを使用し、機(jī)密データの暗號化、強(qiáng)力なアクセス制御の実裝、定期的にシステムとアプリケーションのテストと更新、情報(bào)セキュリティポリシーの維持が含まれます。

PHPの一般的なセキュリティの脆弱性とそれらを防ぐ方法は何ですか？

PHPの一般的なセキュリティの脆弱性には、SQLインジェクション、クロスサイトスクリプト（XSS）、およびクロスサイトリクエストフォーファリー（CSRF）が含まれます。これらの脆弱性は、SQL注入を防ぐために事前に準(zhǔn)備されたステートメントまたはパラメーター化されたクエリを使用して、ユーザー入力を検証およびクリーン化することにより、CSRF攻撃を防ぐためにAnti-CSRFトークンを防ぐことができます。

PHP開発者はクレジットカードデータを安全に処理する方法をどのように処理しますか？

PHP開発者は、PCI DSS要件に従うことにより、クレジットカードデータを安全に処理できます。これには、オープンパブリックネットワークに送信されるカード所有者データの暗號化、保存されたカード所有者データの保護(hù)、強(qiáng)力なアクセス制御の実裝、ネットワークの定期的な監(jiān)視とテスト、情報(bào)セキュリティポリシーの維持が含まれます。

PCIコンプライアンスで暗號化はどのような役割を果たしますか？

暗號化は、PCIコンプライアンスにおいて重要な役割を果たします。クレジットカード情報(bào)などの機(jī)密データを読み取れない形式に変換することにより、機(jī)密データを保護(hù)するのに役立ちます。これは、復(fù)號化キーを使用してのみ解読できます。これにより、伝送中にデータが傍受されたとしても、不正な個人が読み取ったり使用したりできないことが保証されます。

PHP開発者はどのように強(qiáng)力なアクセス制御を?qū)g裝しますか？

PHP開発者は、コンピューターアクセスを持つ各人に一意のIDが割り當(dāng)てられていることを確認(rèn)することにより、カード所有者データへの物理的アクセスを制限し、ビジネスが強(qiáng)力なアクセス制御測定を?qū)g裝する必要がある原則に基づいてカード所有者データへのアクセスを制限できます。さらに、アクセスコントロールを定期的に確認(rèn)し、必要に応じて更新する必要があります。

PCI DSSに準(zhǔn)拠していないことの結(jié)果は何ですか？

PCI DSSを遵守しなかった場合、罰金、罰則、さらにはクレジットカードの支払いを処理する能力の損失など、さまざまな結(jié)果につながる可能性があります。さらに、會社の評判を損ない、顧客の信頼の低下につながる可能性があります。

システムとアプリケーションにセキュリティの脆弱性がある場合、PHP開発者はどのくらいの頻度でテストする必要がありますか？

PHP開発者は、セキュリティの脆弱性についてシステムとアプリケーションを定期的にテストする必要があります。テストの頻度は、PCI DSSの特定の要件に依存しますが、ベストプラクティスとして、少なくとも年に1回、および大幅な変更の後にシステムとアプリケーションをテストする必要があります。

情報(bào)セキュリティポリシーとは何ですか？また、なぜPCIコンプライアンスにとって重要なのですか？

情報(bào)セキュリティポリシーは、情報(bào)資産を保護(hù)するための會社がそれに続く一連のルールと手順です。 PCIコンプライアンスにとって重要なのは、すべての従業(yè)員がカード所有者のデータを保護(hù)する際の役割と責(zé)任を理解し、セキュリティ管理を?qū)g裝および維持するためのフレームワークを提供するのに役立つためです。

PHP開発者は、最新のPCI DSS要件とセキュリティベストプラクティスをどのように最新の狀態(tài)に保ちますか？

PHP開発者は、最新のPCI DSS要件を最新の狀態(tài)に保ち、公式のPCIセキュリティ基準(zhǔn)委員會のウェブサイトを定期的にチェックし、関連するセキュリティニュースレターやブログを購読し、セキュリティ會議やウェビナーに參加し、セキュリティトレーニングと認(rèn)定プログラムに參加することができます。安全ベストプラクティス。

以上がPHPマスター| PCIコンプライアンスとPHPにとっての意味の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。