理解PCI合規(guī)性及其對PHP開發(fā)的影響

PCI代表“支付卡行業(yè)”，但對許多人來說，它是一套由秘密國際卡特爾強加的模糊標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)旨在用繁重的法規(guī)和法律糾紛來埋葬毫無戒心的靈魂。事實的真相要枯燥得多。實際上，PCI是由信用卡公司和行業(yè)安全專家組成的聯(lián)盟制定的一套安全指南，用於規(guī)範(fàn)?wèi)?yīng)用程序在處理信用卡或借記卡信息時的行為。信用卡公司將這些標(biāo)準(zhǔn)強加於銀行，然後銀行將其強加於我們這些運營電子商務(wù)網(wǎng)站的人。在本文中，我們將消除關(guān)於PCI的一些持續(xù)存在的誤解，從20,000英尺的高度了解PCI的內(nèi)容，然後重點關(guān)注與一般編碼和PHP相關(guān)的那些要求。

關(guān)鍵要點

• PCI（支付卡行業(yè)）標(biāo)準(zhǔn)是由信用卡公司和安全專家製定的安全指南，用於規(guī)範(fàn)?wèi)?yīng)用程序如何處理信用卡或借記卡信息。它們適用於所有接受信用卡信息進行支付的人，包括小型電子商務(wù)網(wǎng)站。
• PCI標(biāo)準(zhǔn)包含12項基本要求，包括構(gòu)建和維護安全網(wǎng)絡(luò)、保護持卡人數(shù)據(jù)、維護漏洞管理程序、實施強大的訪問控制機制、定期監(jiān)控和測試網(wǎng)絡(luò)以及維護信息安全策略。
• PHP開發(fā)人員在創(chuàng)建處理信用卡數(shù)據(jù)的應(yīng)用程序時必須遵守這些標(biāo)準(zhǔn)。這包括不使用供應(yīng)商默認配置文件或密碼、保護和加密存儲的持卡人數(shù)據(jù)、開發(fā)安全系統(tǒng)和應(yīng)用程序、限制訪問以及跟蹤和記錄對資源和數(shù)據(jù)的所有訪問。
• 雖然PCI標(biāo)準(zhǔn)提供安全方面的指南和想法，但它們並非具體的技術(shù)，也不能保證免受黑客攻擊。但是，遵守這些標(biāo)準(zhǔn)可以降低安全漏洞的可能性，並提高公司的法律和消費者地位。
• 遵守PCI標(biāo)準(zhǔn)並非一次性任務(wù)，需要持續(xù)關(guān)注和年度審查。開發(fā)人員應(yīng)通過PCI安全標(biāo)準(zhǔn)委員會網(wǎng)站以及相關(guān)的安全新聞通訊、博客和培訓(xùn)計劃等資源，隨時了解最新的PCI要求和安全最佳實踐。

PCI誤解

毫不奇怪，圍繞PCI標(biāo)準(zhǔn)存在許多誤解。其中一個誤解是，它們就像黑手黨的行為準(zhǔn)則一樣，沒有寫在哪裡，因此可以按照你想要的方式解釋。當(dāng)然，這是不正確的。要了解PCI標(biāo)準(zhǔn)的完整說明，只需訪問pcisecuritystandards.org即可。另一個誤解是，PCI安全標(biāo)準(zhǔn)僅適用於銀行和大型零售商等“大公司”。它們適用於每一個接受信用卡信息來支付商品的人。如果你為你的母親編寫了一個PHP網(wǎng)站來出售她著名的檸檬派，那麼你就有了一個符合PCI指南的系統(tǒng)。第三個誤解是，如果你遵循PCI標(biāo)準(zhǔn)，那麼你將受到保護免受惡意黑客攻擊，你的數(shù)據(jù)將保持安全。當(dāng)然，這很好，但事實是，PCI標(biāo)準(zhǔn)是指南和想法，而不是具體的技術(shù)（它們必須含糊不清才能適應(yīng)所有架構(gòu)和平臺）。顯然，你越關(guān)注安全，被攻擊的機率就越小，但任何人都可能受到攻擊。如果你至少嘗試過滿足PCI的期望，那麼在法律和消費者方面，你的評價都會更好。最後，PCI不是你做一次然後深呼吸就能完成的事情。該標(biāo)準(zhǔn)要求你每年進行一次PCI審查，因此這就像質(zhì)量保證工作或傾聽你配偶的意見一樣，是一項持續(xù)進行的工作。簡單的事實是，PCI是每個從事處理信用卡數(shù)據(jù)的應(yīng)用程序的程序員都需要了解的事情，無論規(guī)模大小。是的，這就是為什麼經(jīng)銷商只收現(xiàn)金的原因。

PCI基礎(chǔ)知識

PCI標(biāo)準(zhǔn)由12項基本要求組成。該標(biāo)準(zhǔn)大約每兩年更新一次，在此期間會發(fā)佈各種更具體的指南文件，這些文件處理PCI世界中的某個子集。例如，在2013年2月，PCI人員發(fā)布了一份白皮書，討論了PCI和雲(yún)計算。這些特別報告也可從PCI網(wǎng)站獲得。正如我們將看到的，許多PCI要求更多地與網(wǎng)絡(luò)相關(guān)，但是，如果你沒有對完整的PCI有一個基本的了解，那麼談?wù)撨@些東西還有什麼意義呢？這些要求是：

• 區(qū)域1 – 建立和維護安全網(wǎng)絡(luò)
  • 要求1 – 安裝防火牆以保護您的環(huán)境。
  • 要求2 – 不要使用供應(yīng)商默認配置文件或密碼。
• 區(qū)域2 – 保護持卡人數(shù)據(jù)
  • 要求3 – 保護存儲的持卡人數(shù)據(jù)。
  • 要求4 – 對在開放的公共網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)進行加密。
• 區(qū)域3 – 維持漏洞管理程序
  • 要求5 – 使用並定期更新防病毒軟件。
  • 要求6 – 開發(fā)和維護安全的系統(tǒng)和應(yīng)用程序。
• 區(qū)域4 – 實施強大的訪問控制機制
  • 要求7 – 基於需要了解的原則限制對持卡人數(shù)據(jù)的訪問。
  • 要求8 – 為每個具有計算機訪問權(quán)限的人分配一個唯一的ID。
  • 要求9 – 限制對持卡人數(shù)據(jù)的物理訪問。
• 區(qū)域5 – 定期監(jiān)控和測試網(wǎng)絡(luò)
  • 要求10 – 跟蹤和監(jiān)控/記錄對網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問。
  • 要求11 – 定期測試安全系統(tǒng)和流程。
• 區(qū)域6 – 維持信息安全策略
  • 要求12 – 維持一項解決信息安全的策略。

其中一些項目與政策決策有關(guān)，即制定明確說明你如何努力保護卡信息並確保網(wǎng)絡(luò)和應(yīng)用程序整體安全的策略的決策。其他要求與網(wǎng)絡(luò)本身以及你可以用來保護它的軟件有關(guān)。其中一些涉及流程的設(shè)計階段，你如何構(gòu)建和設(shè)置你的應(yīng)用程序。幾乎沒有任何要求與代碼有關(guān)，而且沒有任何要求描述建議你保持安全的特定編程技術(shù)。為了保持篇幅相對較短，我將限制我的諷刺和智慧（比例為70:30），並關(guān)注最後兩組。

要求2 – 不要使用供應(yīng)商默認的配置文件/密碼

在許多方面，這幾乎是不言而喻的。自從我們開始擔(dān)心這些事情以來，安全人員一直在告訴我們這一點。但令人驚訝的是，在許多我們使用的軟件（例如MySQL）中，使用默認帳戶和密碼是多麼容易（尤其是在你第一次安裝東西並且一切都處於“測試”狀態(tài)時）。這裡的危險性之所以增加，是因為我們大多數(shù)人都是圍繞一些基本的軟件來構(gòu)建我們的應(yīng)用程序，而不是從頭開始做整個事情。它可能只是一個我們用來處理加密和密鑰存儲的包（見下文），也可能是整個應(yīng)用程序的框架。無論哪種方式，易於記住，易於實現(xiàn)：不要使用默認帳戶。

要求3 – 保護存儲的持卡人數(shù)據(jù)

在我記得的大多數(shù)高調(diào)的零售網(wǎng)站黑客攻擊事件中，都涉及到網(wǎng)站保存的卡或其他數(shù)據(jù)的盜竊，因此我將此列為PCI標(biāo)準(zhǔn)中最重要的部分。顯然，你存儲的任何卡數(shù)據(jù)都應(yīng)該被加密。而且你需要做好加密工作。對於那些非常了解加密的人來說，你知道做好數(shù)據(jù)加密工作意味著你已經(jīng)很好地管理了加密密鑰。密鑰管理圍繞著生成、存儲和更新加密過程中使用的密鑰的問題展開。存儲它們可能是一個大問題，因為你想確保沒有人能夠進入系統(tǒng)並竊取密鑰。管理策略在如何將密鑰分成多個部分方面有所不同；如果你想了解密鑰管理的介紹，我建議你從Securosis的這份白皮書開始，然後繼續(xù)學(xué)習(xí)，儘管要注意，水會很快變得很深。當(dāng)然，如果你使用商業(yè)產(chǎn)品來處理加密，那麼你可以將密鑰管理留給他們，儘管你想確保他們的流程是可靠的，並且它符合你的方法。大多數(shù)商業(yè)產(chǎn)品都是考慮到PCI而開發(fā)的，因此將根據(jù)PCI標(biāo)準(zhǔn)構(gòu)建，但這仍然不會妨礙你進行二次檢查。此外，如果你最大限度地減少甚至消除你存儲的數(shù)據(jù)量，那麼保護數(shù)據(jù)這項任務(wù)將變得容易得多。也就是說，持卡人數(shù)據(jù)可以是他們的姓名、生日、卡號、有效期、卡驗證（CV）碼（卡背或卡正面上的三位或四位數(shù)字）等等。你保存的項目越少，你需要加密的就越少，你的責(zé)任就越小。幸運的是，這是一個PCI標(biāo)準(zhǔn)相當(dāng)具體的領(lǐng)域，它明確規(guī)定了你可以和不可以保存哪些數(shù)據(jù)。你可以保存卡號（PAN – 主要帳戶號碼）、持卡人姓名、有效期和服務(wù)代碼。如果你確實保存了PAN，那麼如果你要顯示它，則必須對其進行屏蔽，最多只能顯示前六位和後四位數(shù)字。你不能存儲PIN、CV碼或磁條的全部內(nèi)容。在設(shè)計階段，你必須問自己的問題是，你真的想保留多少這些令人討厭的數(shù)據(jù)。保留它的唯一真正原因是你希望在下一次為你的客戶提供輕鬆的體驗。你可以保留生日，這樣你就可以在生日的時候給他們發(fā)一個友好的小邀請。所有這些數(shù)據(jù)都必須被加密和保護，所以確保你從中獲得了一些可靠的商業(yè)用途。要求4（對任何正在傳輸?shù)臄?shù)據(jù)進行加密）算是這部分內(nèi)容的一部分，但我將其視為基礎(chǔ)設(shè)施的一部分，不再贅述。

要求6 – 開發(fā)和維護安全的系統(tǒng)和應(yīng)用程序

這是與代碼相關(guān)的要求。不是針對特定的函數(shù)或類，而是至少確保你遵循一般安全標(biāo)準(zhǔn)並嘗試使你的東西盡可能安全。因此，你只需使用編碼技術(shù)（無論使用哪種語言），這些技術(shù)不會使你的應(yīng)用程序容易受到明顯的攻擊。例如，你嘗試通過在接受表單數(shù)據(jù)時採取預(yù)防措施來防止SQL注入，你嘗試阻止XSS等等。有關(guān)避免一些更常見安全問題的更多信息，請參閱SitePoint上發(fā)布的其他一些文章（這篇文章和這篇文章，以及如果你搜索“安全”可以找到的其他文章）。

要求7和8 – 限制訪問和唯一ID

這兩件事都與你訪問應(yīng)用程序的方式有關(guān)，因此介於編碼和設(shè)計之間。要求每個訪問者都有一個唯一的ID應(yīng)該沒有問題，除非——你恰好允許人們通過訪客配置文件登錄和購物。我可以想到幾個允許你這樣做的網(wǎng)站，它本身並不是邪惡的，但使用組配置文件很危險，你必須格外小心，以確保它們沒有太多權(quán)限。一般來說，你應(yīng)該努力設(shè)置唯一的ID，即使ID不是你保存的ID。例如，你可以讓人們以訪客身份登錄，但隨後立即在後臺為該事件創(chuàng)建一個唯一的配置文件。我們還希望限制對持卡人數(shù)據(jù)的物理訪問。這可能是對未來的暗示，那時我們將能夠像艾薩克·阿西莫夫的《神奇旅程》中那樣將人們縮小到亞微觀尺寸，並將他們注入存儲設(shè)備以獲取卡數(shù)據(jù)的1和0……或者它也可能與鎖定的服務(wù)器機房、所有訪客的徽章、不讓任何人接近備份磁帶等事情有關(guān)。

要求10 – 跟蹤和記錄對資源/數(shù)據(jù)的所有訪問

最後，不要低估跟蹤和記錄訪問資源或持卡人數(shù)據(jù)的所有內(nèi)容的重要性……我的意思是所有內(nèi)容。應(yīng)該記錄的事件包括登錄、註銷、數(shù)據(jù)訪問；數(shù)據(jù)更新，實際上任何涉及資源或數(shù)據(jù)元素並且你認為可能對審計跟蹤或刑事審判中的證據(jù)有用的內(nèi)容。你必須實現(xiàn)一個安全的日誌，每天檢查日誌以查找問題，並將日誌保存一年。對於PHP用戶來說，熟悉來自PHP-FIG組的PSR-3日誌記錄標(biāo)準(zhǔn)將是有益的，它提供了一種統(tǒng)一而靈活的方式來設(shè)置你的日誌記錄。與其在這裡深入探討，我建議你閱讀Patrick Mulvey的介紹性文章。

總結(jié)

我想真正強調(diào)的一件事是，PCI不是錦上添花。它是創(chuàng)建使用信用卡數(shù)據(jù)的應(yīng)用程序的基礎(chǔ)部分。如果你正在編寫一個確實接收此類數(shù)據(jù)的應(yīng)用程序，那麼無論你的客戶是否知道，它都適用於你。大部分內(nèi)容都高於編碼級別，但它是真實的，你仍然必須注意它。 圖片來自Fotolia

關(guān)於PCI合規(guī)性和PHP開發(fā)的常見問題解答（FAQ）

什麼是PCI合規(guī)性，為什麼對PHP開發(fā)人員很重要？

PCI合規(guī)性是指遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），這是一套安全標(biāo)準(zhǔn)，旨在確保所有接受、處理、存儲或傳輸信用卡信息的公司都維護一個安全的環(huán)境。對於PHP開發(fā)人員來說，了解和實施PCI合規(guī)性至關(guān)重要，因為它有助於保護客戶的敏感數(shù)據(jù)，降低數(shù)據(jù)洩露的風(fēng)險，並建立與用戶的信任。不遵守規(guī)定可能導(dǎo)致處罰、罰款，甚至喪失處理支付的能力。

PHP開發(fā)人員如何確保PCI合規(guī)性？

PHP開發(fā)人員可以通過幾個關(guān)鍵步驟來確保PCI合規(guī)性。這些步驟包括使用安全的編碼實踐來防止常見的漏洞，加密敏感數(shù)據(jù)，實施強大的訪問控制措施，定期測試和更新系統(tǒng)和應(yīng)用程序，以及維護信息安全策略。

PHP中有哪些常見的安全漏洞，如何防止它們？

PHP中的一些常見安全漏洞包括SQL注入、跨站點腳本（XSS）和跨站點請求偽造（CSRF）?？梢酝ㄟ^使用預(yù)準(zhǔn)備語句或參數(shù)化查詢來防止SQL注入，驗證和清理用戶輸入來防止XSS，以及使用反CSRF令牌來防止CSRF攻擊來防止這些漏洞。

PHP開發(fā)人員如何安全地處理信用卡數(shù)據(jù)？

PHP開發(fā)人員可以通過遵循PCI DSS要求來安全地處理信用卡數(shù)據(jù)。這包括加密在開放的公共網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)，保護存儲的持卡人數(shù)據(jù)，實施強大的訪問控制措施，定期監(jiān)控和測試網(wǎng)絡(luò)，以及維護信息安全策略。

加密在PCI合規(guī)性中扮演什麼角色？

加密在PCI合規(guī)性中扮演著至關(guān)重要的角色。它通過將敏感數(shù)據(jù)（例如信用卡信息）轉(zhuǎn)換為無法讀取的格式來幫助保護敏感數(shù)據(jù)，只有使用解密密鑰才能對其進行解密。這確保即使在傳輸過程中截獲數(shù)據(jù)，未經(jīng)授權(quán)的個人也無法讀取或使用它。

PHP開發(fā)人員如何實施強大的訪問控制措施？

PHP開發(fā)人員可以通過確保為每個具有計算機訪問權(quán)限的人分配一個唯一的ID，限制對持卡人數(shù)據(jù)的物理訪問，以及根據(jù)業(yè)務(wù)需要了解的原則限制對持卡人數(shù)據(jù)的訪問來實施強大的訪問控制措施。此外，他們應(yīng)該定期審查訪問控制措施並根據(jù)需要進行更新。

不遵守PCI DSS 會有什麼後果？

不遵守PCI DSS 會導(dǎo)致一系列後果，包括罰款、處罰，甚至喪失處理信用卡支付的能力。此外，它還會損害公司的聲譽並導(dǎo)致客戶信任度下降。

PHP開發(fā)人員多久應(yīng)該測試一次他們的系統(tǒng)和應(yīng)用程序是否存在安全漏洞？

PHP開發(fā)人員應(yīng)該定期測試他們的系統(tǒng)和應(yīng)用程序是否存在安全漏洞。測試頻率將取決於PCI DSS 的具體要求，但作為最佳實踐，系統(tǒng)和應(yīng)用程序至少應(yīng)每年測試一次，以及在任何重大更改之後進行測試。

什麼是信息安全策略，為什麼它對PCI合規(guī)性很重要？

信息安全策略是一家公司遵循的一套規(guī)則和程序，用於保護其信息資產(chǎn)。它對於PCI合規(guī)性很重要，因為它有助於確保所有員工都了解他們在保護持卡人數(shù)據(jù)方面的角色和責(zé)任，並為實施和維護安全控制提供框架。

PHP開發(fā)人員如何隨時了解最新的PCI DSS 要求和安全最佳實踐？

PHP開發(fā)人員可以通過定期檢查官方PCI安全標(biāo)準(zhǔn)委員會網(wǎng)站，訂閱相關(guān)的安全新聞通訊和博客，參加安全會議和網(wǎng)絡(luò)研討會，以及參加安全培訓(xùn)和認證計劃來隨時了解最新的PCI DSS 要求和安全最佳實踐。

以上是PHP主| PCI合規(guī)性及PHP意味著什麼的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！