理解PCI合規(guī)性及其對PHP開發(fā)的影響

PCI代表“支付卡行業(yè)”，但對許多人來說，它是一套由秘密國際卡特爾強加的模糊標準，這些標準旨在用繁重的法規(guī)和法律糾紛來埋葬毫無戒心的靈魂。事實的真相要枯燥得多。實際上，PCI是由信用卡公司和行業(yè)安全專家組成的聯(lián)盟制定的一套安全指南，用于規(guī)范應用程序在處理信用卡或借記卡信息時的行為。信用卡公司將這些標準強加于銀行，然后銀行將其強加于我們這些運營電子商務網站的人。在本文中，我們將消除關于PCI的一些持續(xù)存在的誤解，從20,000英尺的高度了解PCI的內容，然后重點關注與一般編碼和PHP相關的那些要求。

關鍵要點

• PCI（支付卡行業(yè)）標準是由信用卡公司和安全專家制定的安全指南，用于規(guī)范應用程序如何處理信用卡或借記卡信息。它們適用于所有接受信用卡信息進行支付的人，包括小型電子商務網站。
• PCI標準包含12項基本要求，包括構建和維護安全網絡、保護持卡人數(shù)據(jù)、維護漏洞管理程序、實施強大的訪問控制機制、定期監(jiān)控和測試網絡以及維護信息安全策略。
• PHP開發(fā)人員在創(chuàng)建處理信用卡數(shù)據(jù)的應用程序時必須遵守這些標準。這包括不使用供應商默認配置文件或密碼、保護和加密存儲的持卡人數(shù)據(jù)、開發(fā)安全系統(tǒng)和應用程序、限制訪問以及跟蹤和記錄對資源和數(shù)據(jù)的所有訪問。
• 雖然PCI標準提供安全方面的指南和想法，但它們并非具體的技術，也不能保證免受黑客攻擊。但是，遵守這些標準可以降低安全漏洞的可能性，并提高公司的法律和消費者地位。
• 遵守PCI標準并非一次性任務，需要持續(xù)關注和年度審查。開發(fā)人員應通過PCI安全標準委員會網站以及相關的安全新聞通訊、博客和培訓計劃等資源，隨時了解最新的PCI要求和安全最佳實踐。

PCI誤解

毫不奇怪，圍繞PCI標準存在許多誤解。其中一個誤解是，它們就像黑手黨的行為準則一樣，沒有寫在哪里，因此可以按照你想要的方式解釋。當然，這是不正確的。要了解PCI標準的完整說明，只需訪問pcisecuritystandards.org即可。另一個誤解是，PCI安全標準僅適用于銀行和大型零售商等“大公司”。它們適用于每一個接受信用卡信息來支付商品的人。如果你為你的母親編寫了一個PHP網站來出售她著名的檸檬派，那么你就有了一個符合PCI指南的系統(tǒng)。第三個誤解是，如果你遵循PCI標準，那么你將受到保護免受惡意黑客攻擊，你的數(shù)據(jù)將保持安全。當然，這很好，但事實是，PCI標準是指南和想法，而不是具體的技術（它們必須含糊不清才能適應所有架構和平臺）。顯然，你越關注安全，被攻擊的幾率就越小，但任何人都可能受到攻擊。如果你至少嘗試過滿足PCI的期望，那么在法律和消費者方面，你的評價都會更好。最后，PCI不是你做一次然后深呼吸就能完成的事情。該標準要求你每年進行一次PCI審查，因此這就像質量保證工作或傾聽你配偶的意見一樣，是一項持續(xù)進行的工作。簡單的事實是，PCI是每個從事處理信用卡數(shù)據(jù)的應用程序的程序員都需要了解的事情，無論規(guī)模大小。是的，這就是為什么經銷商只收現(xiàn)金的原因。

PCI基礎知識

PCI標準由12項基本要求組成。該標準大約每兩年更新一次，在此期間會發(fā)布各種更具體的指南文件，這些文件處理PCI世界中的某個子集。例如，在2013年2月，PCI人員發(fā)布了一份白皮書，討論了PCI和云計算。這些特別報告也可從PCI網站獲得。正如我們將看到的，許多PCI要求更多地與網絡相關，但是，如果你沒有對完整的PCI有一個基本的了解，那么談論這些東西還有什么意義呢？這些要求是：

• 區(qū)域1 – 建立和維護安全網絡
  • 要求1 – 安裝防火墻以保護您的環(huán)境。
  • 要求2 – 不要使用供應商默認配置文件或密碼。
• 區(qū)域2 – 保護持卡人數(shù)據(jù)
  • 要求3 – 保護存儲的持卡人數(shù)據(jù)。
  • 要求4 – 對在開放的公共網絡上傳輸?shù)某挚ㄈ藬?shù)據(jù)進行加密。
• 區(qū)域3 – 維持漏洞管理程序
  • 要求5 – 使用并定期更新防病毒軟件。
  • 要求6 – 開發(fā)和維護安全的系統(tǒng)和應用程序。
• 區(qū)域4 – 實施強大的訪問控制機制
  • 要求7 – 基于需要了解的原則限制對持卡人數(shù)據(jù)的訪問。
  • 要求8 – 為每個具有計算機訪問權限的人分配一個唯一的ID。
  • 要求9 – 限制對持卡人數(shù)據(jù)的物理訪問。
• 區(qū)域5 – 定期監(jiān)控和測試網絡
  • 要求10 – 跟蹤和監(jiān)控/記錄對網絡資源和持卡人數(shù)據(jù)的所有訪問。
  • 要求11 – 定期測試安全系統(tǒng)和流程。
• 區(qū)域6 – 維持信息安全策略
  • 要求12 – 維持一項解決信息安全的策略。

其中一些項目與政策決策有關，即制定明確說明你如何努力保護卡信息并確保網絡和應用程序整體安全的策略的決策。其他要求與網絡本身以及你可以用來保護它的軟件有關。其中一些涉及流程的設計階段，你如何構建和設置你的應用程序。幾乎沒有任何要求與代碼有關，而且沒有任何要求描述建議你保持安全的特定編程技術。為了保持篇幅相對較短，我將限制我的諷刺和智慧（比例為70:30），并關注最后兩組。

要求2 – 不要使用供應商默認的配置文件/密碼

在許多方面，這幾乎是不言而喻的。自從我們開始擔心這些事情以來，安全人員一直在告訴我們這一點。但令人驚訝的是，在許多我們使用的軟件（例如MySQL）中，使用默認帳戶和密碼是多么容易（尤其是在你第一次安裝東西并且一切都處于“測試”狀態(tài)時）。這里的危險性之所以增加，是因為我們大多數(shù)人都是圍繞一些基本的軟件來構建我們的應用程序，而不是從頭開始做整個事情。它可能只是一個我們用來處理加密和密鑰存儲的包（見下文），也可能是整個應用程序的框架。無論哪種方式，易于記住，易于實現(xiàn)：不要使用默認帳戶。

要求3 – 保護存儲的持卡人數(shù)據(jù)

在我記得的大多數(shù)高調的零售網站黑客攻擊事件中，都涉及到網站保存的卡或其他數(shù)據(jù)的盜竊，因此我將此列為PCI標準中最重要的部分。顯然，你存儲的任何卡數(shù)據(jù)都應該被加密。而且你需要做好加密工作。對于那些非常了解加密的人來說，你知道做好數(shù)據(jù)加密工作意味著你已經很好地管理了加密密鑰。密鑰管理圍繞著生成、存儲和更新加密過程中使用的密鑰的問題展開。存儲它們可能是一個大問題，因為你想確保沒有人能夠進入系統(tǒng)并竊取密鑰。管理策略在如何將密鑰分成多個部分方面有所不同；如果你想了解密鑰管理的介紹，我建議你從Securosis的這份白皮書開始，然后繼續(xù)學習，盡管要注意，水會很快變得很深。當然，如果你使用商業(yè)產品來處理加密，那么你可以將密鑰管理留給他們，盡管你想確保他們的流程是可靠的，并且它符合你的方法。大多數(shù)商業(yè)產品都是考慮到PCI而開發(fā)的，因此將根據(jù)PCI標準構建，但這仍然不會妨礙你進行二次檢查。此外，如果你最大限度地減少甚至消除你存儲的數(shù)據(jù)量，那么保護數(shù)據(jù)這項任務將變得容易得多。也就是說，持卡人數(shù)據(jù)可以是他們的姓名、生日、卡號、有效期、卡驗證（CV）碼（卡背或卡正面上的三位或四位數(shù)字）等等。你保存的項目越少，你需要加密的就越少，你的責任就越小。幸運的是，這是一個PCI標準相當具體的領域，它明確規(guī)定了你可以和不可以保存哪些數(shù)據(jù)。你可以保存卡號（PAN – 主要帳戶號碼）、持卡人姓名、有效期和服務代碼。如果你確實保存了PAN，那么如果你要顯示它，則必須對其進行屏蔽，最多只能顯示前六位和后四位數(shù)字。你不能存儲PIN、CV碼或磁條的全部內容。在設計階段，你必須問自己的問題是，你真的想保留多少這些令人討厭的數(shù)據(jù)。保留它的唯一真正原因是你希望在下一次為你的客戶提供輕松的體驗。你可以保留生日，這樣你就可以在生日的時候給他們發(fā)一個友好的小邀請。所有這些數(shù)據(jù)都必須被加密和保護，所以確保你從中獲得了一些可靠的商業(yè)用途。要求4（對任何正在傳輸?shù)臄?shù)據(jù)進行加密）算是這部分內容的一部分，但我將其視為基礎設施的一部分，不再贅述。

要求6 – 開發(fā)和維護安全的系統(tǒng)和應用程序

這是與代碼相關的要求。不是針對特定的函數(shù)或類，而是至少確保你遵循一般安全標準并嘗試使你的東西盡可能安全。因此，你只需使用編碼技術（無論使用哪種語言），這些技術不會使你的應用程序容易受到明顯的攻擊。例如，你嘗試通過在接受表單數(shù)據(jù)時采取預防措施來防止SQL注入，你嘗試阻止XSS等等。有關避免一些更常見安全問題的更多信息，請參閱SitePoint上發(fā)布的其他一些文章（這篇文章和這篇文章，以及如果你搜索“安全”可以找到的其他文章）。

要求7和8 – 限制訪問和唯一ID

這兩件事都與你訪問應用程序的方式有關，因此介于編碼和設計之間。要求每個訪問者都有一個唯一的ID應該沒有問題，除非——你恰好允許人們通過訪客配置文件登錄和購物。我可以想到幾個允許你這樣做的網站，它本身并不是邪惡的，但使用組配置文件很危險，你必須格外小心，以確保它們沒有太多權限。一般來說，你應該努力設置唯一的ID，即使ID不是你保存的ID。例如，你可以讓人們以訪客身份登錄，但隨后立即在后臺為該事件創(chuàng)建一個唯一的配置文件。我們還希望限制對持卡人數(shù)據(jù)的物理訪問。這可能是對未來的暗示，那時我們將能夠像艾薩克·阿西莫夫的《神奇旅程》中那樣將人們縮小到亞微觀尺寸，并將他們注入存儲設備以獲取卡數(shù)據(jù)的1和0……或者它也可能與鎖定的服務器機房、所有訪客的徽章、不讓任何人接近備份磁帶等事情有關。

要求10 – 跟蹤和記錄對資源/數(shù)據(jù)的所有訪問

最后，不要低估跟蹤和記錄訪問資源或持卡人數(shù)據(jù)的所有內容的重要性……我的意思是所有內容。應該記錄的事件包括登錄、注銷、數(shù)據(jù)訪問；數(shù)據(jù)更新，實際上任何涉及資源或數(shù)據(jù)元素并且你認為可能對審計跟蹤或刑事審判中的證據(jù)有用的內容。你必須實現(xiàn)一個安全的日志，每天檢查日志以查找問題，并將日志保存一年。對于PHP用戶來說，熟悉來自PHP-FIG組的PSR-3日志記錄標準將是有益的，它提供了一種統(tǒng)一而靈活的方式來設置你的日志記錄。與其在這里深入探討，我建議你閱讀Patrick Mulvey的介紹性文章。

總結

我想真正強調的一件事是，PCI不是錦上添花。它是創(chuàng)建使用信用卡數(shù)據(jù)的應用程序的基礎部分。如果你正在編寫一個確實接收此類數(shù)據(jù)的應用程序，那么無論你的客戶是否知道，它都適用于你。大部分內容都高于編碼級別，但它是真實的，你仍然必須注意它。圖片來自Fotolia

關于PCI合規(guī)性和PHP開發(fā)的常見問題解答（FAQ）

什么是PCI合規(guī)性，為什么對PHP開發(fā)人員很重要？

PCI合規(guī)性是指遵守支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS），這是一套安全標準，旨在確保所有接受、處理、存儲或傳輸信用卡信息的公司都維護一個安全的環(huán)境。對于PHP開發(fā)人員來說，了解和實施PCI合規(guī)性至關重要，因為它有助于保護客戶的敏感數(shù)據(jù)，降低數(shù)據(jù)泄露的風險，并建立與用戶的信任。不遵守規(guī)定可能導致處罰、罰款，甚至喪失處理支付的能力。

PHP開發(fā)人員如何確保PCI合規(guī)性？

PHP開發(fā)人員可以通過幾個關鍵步驟來確保PCI合規(guī)性。這些步驟包括使用安全的編碼實踐來防止常見的漏洞，加密敏感數(shù)據(jù)，實施強大的訪問控制措施，定期測試和更新系統(tǒng)和應用程序，以及維護信息安全策略。

PHP中有哪些常見的安全漏洞，如何防止它們？

PHP中的一些常見安全漏洞包括SQL注入、跨站點腳本（XSS）和跨站點請求偽造（CSRF）?？梢酝ㄟ^使用預準備語句或參數(shù)化查詢來防止SQL注入，驗證和清理用戶輸入來防止XSS，以及使用反CSRF令牌來防止CSRF攻擊來防止這些漏洞。

PHP開發(fā)人員如何安全地處理信用卡數(shù)據(jù)？

PHP開發(fā)人員可以通過遵循PCI DSS要求來安全地處理信用卡數(shù)據(jù)。這包括加密在開放的公共網絡上傳輸?shù)某挚ㄈ藬?shù)據(jù)，保護存儲的持卡人數(shù)據(jù)，實施強大的訪問控制措施，定期監(jiān)控和測試網絡，以及維護信息安全策略。

加密在PCI合規(guī)性中扮演什么角色？

加密在PCI合規(guī)性中扮演著至關重要的角色。它通過將敏感數(shù)據(jù)（例如信用卡信息）轉換為無法讀取的格式來幫助保護敏感數(shù)據(jù)，只有使用解密密鑰才能對其進行解密。這確保即使在傳輸過程中截獲數(shù)據(jù)，未經授權的個人也無法讀取或使用它。

PHP開發(fā)人員如何實施強大的訪問控制措施？

PHP開發(fā)人員可以通過確保為每個具有計算機訪問權限的人分配一個唯一的ID，限制對持卡人數(shù)據(jù)的物理訪問，以及根據(jù)業(yè)務需要了解的原則限制對持卡人數(shù)據(jù)的訪問來實施強大的訪問控制措施。此外，他們應該定期審查訪問控制措施并根據(jù)需要進行更新。

不遵守PCI DSS 會有什么后果？

不遵守PCI DSS 會導致一系列后果，包括罰款、處罰，甚至喪失處理信用卡支付的能力。此外，它還會損害公司的聲譽并導致客戶信任度下降。

PHP開發(fā)人員多久應該測試一次他們的系統(tǒng)和應用程序是否存在安全漏洞？

PHP開發(fā)人員應該定期測試他們的系統(tǒng)和應用程序是否存在安全漏洞。測試頻率將取決于PCI DSS 的具體要求，但作為最佳實踐，系統(tǒng)和應用程序至少應每年測試一次，以及在任何重大更改之后進行測試。

什么是信息安全策略，為什么它對PCI合規(guī)性很重要？

信息安全策略是一家公司遵循的一套規(guī)則和程序，用于保護其信息資產。它對于PCI合規(guī)性很重要，因為它有助于確保所有員工都了解他們在保護持卡人數(shù)據(jù)方面的角色和責任，并為實施和維護安全控制提供框架。

PHP開發(fā)人員如何隨時了解最新的PCI DSS 要求和安全最佳實踐？

PHP開發(fā)人員可以通過定期檢查官方PCI安全標準委員會網站，訂閱相關的安全新聞通訊和博客，參加安全會議和網絡研討會，以及參加安全培訓和認證計劃來隨時了解最新的PCI DSS 要求和安全最佳實踐。

以上是PHP主| PCI合規(guī)性及PHP意味著什么的詳細內容。更多信息請關注PHP中文網其他相關文章！