理解PCI合規(guī)性及其對PHP開發(fā)的影響

PCI代表“支付卡行業(yè)”，但對許多人來說，它是一套由秘密國際卡特爾強(qiáng)加的模糊標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)旨在用繁重的法規(guī)和法律糾紛來埋葬毫無戒心的靈魂。事實(shí)的真相要枯燥得多。實(shí)際上，PCI是由信用卡公司和行業(yè)安全專家組成的聯(lián)盟制定的一套安全指南，用于規(guī)范應(yīng)用程序在處理信用卡或借記卡信息時的行為。信用卡公司將這些標(biāo)準(zhǔn)強(qiáng)加于銀行，然后銀行將其強(qiáng)加于我們這些運(yùn)營電子商務(wù)網(wǎng)站的人。在本文中，我們將消除關(guān)于PCI的一些持續(xù)存在的誤解，從20,000英尺的高度了解PCI的內(nèi)容，然后重點(diǎn)關(guān)注與一般編碼和PHP相關(guān)的那些要求。

關(guān)鍵要點(diǎn)

• PCI（支付卡行業(yè)）標(biāo)準(zhǔn)是由信用卡公司和安全專家制定的安全指南，用于規(guī)范應(yīng)用程序如何處理信用卡或借記卡信息。它們適用于所有接受信用卡信息進(jìn)行支付的人，包括小型電子商務(wù)網(wǎng)站。
• PCI標(biāo)準(zhǔn)包含12項(xiàng)基本要求，包括構(gòu)建和維護(hù)安全網(wǎng)絡(luò)、保護(hù)持卡人數(shù)據(jù)、維護(hù)漏洞管理程序、實(shí)施強(qiáng)大的訪問控制機(jī)制、定期監(jiān)控和測試網(wǎng)絡(luò)以及維護(hù)信息安全策略。
• PHP開發(fā)人員在創(chuàng)建處理信用卡數(shù)據(jù)的應(yīng)用程序時必須遵守這些標(biāo)準(zhǔn)。這包括不使用供應(yīng)商默認(rèn)配置文件或密碼、保護(hù)和加密存儲的持卡人數(shù)據(jù)、開發(fā)安全系統(tǒng)和應(yīng)用程序、限制訪問以及跟蹤和記錄對資源和數(shù)據(jù)的所有訪問。
• 雖然PCI標(biāo)準(zhǔn)提供安全方面的指南和想法，但它們并非具體的技術(shù)，也不能保證免受黑客攻擊。但是，遵守這些標(biāo)準(zhǔn)可以降低安全漏洞的可能性，并提高公司的法律和消費(fèi)者地位。
• 遵守PCI標(biāo)準(zhǔn)并非一次性任務(wù)，需要持續(xù)關(guān)注和年度審查。開發(fā)人員應(yīng)通過PCI安全標(biāo)準(zhǔn)委員會網(wǎng)站以及相關(guān)的安全新聞通訊、博客和培訓(xùn)計劃等資源，隨時了解最新的PCI要求和安全最佳實(shí)踐。

PCI誤解

毫不奇怪，圍繞PCI標(biāo)準(zhǔn)存在許多誤解。其中一個誤解是，它們就像黑手黨的行為準(zhǔn)則一樣，沒有寫在哪里，因此可以按照你想要的方式解釋。當(dāng)然，這是不正確的。要了解PCI標(biāo)準(zhǔn)的完整說明，只需訪問pcisecuritystandards.org即可。另一個誤解是，PCI安全標(biāo)準(zhǔn)僅適用于銀行和大型零售商等“大公司”。它們適用于每一個接受信用卡信息來支付商品的人。如果你為你的母親編寫了一個PHP網(wǎng)站來出售她著名的檸檬派，那么你就有了一個符合PCI指南的系統(tǒng)。第三個誤解是，如果你遵循PCI標(biāo)準(zhǔn)，那么你將受到保護(hù)免受惡意黑客攻擊，你的數(shù)據(jù)將保持安全。當(dāng)然，這很好，但事實(shí)是，PCI標(biāo)準(zhǔn)是指南和想法，而不是具體的技術(shù)（它們必須含糊不清才能適應(yīng)所有架構(gòu)和平臺）。顯然，你越關(guān)注安全，被攻擊的幾率就越小，但任何人都可能受到攻擊。如果你至少嘗試過滿足PCI的期望，那么在法律和消費(fèi)者方面，你的評價都會更好。最后，PCI不是你做一次然后深呼吸就能完成的事情。該標(biāo)準(zhǔn)要求你每年進(jìn)行一次PCI審查，因此這就像質(zhì)量保證工作或傾聽你配偶的意見一樣，是一項(xiàng)持續(xù)進(jìn)行的工作。簡單的事實(shí)是，PCI是每個從事處理信用卡數(shù)據(jù)的應(yīng)用程序的程序員都需要了解的事情，無論規(guī)模大小。是的，這就是為什么經(jīng)銷商只收現(xiàn)金的原因。

PCI基礎(chǔ)知識

PCI標(biāo)準(zhǔn)由12項(xiàng)基本要求組成。該標(biāo)準(zhǔn)大約每兩年更新一次，在此期間會發(fā)布各種更具體的指南文件，這些文件處理PCI世界中的某個子集。例如，在2013年2月，PCI人員發(fā)布了一份白皮書，討論了PCI和云計算。這些特別報告也可從PCI網(wǎng)站獲得。正如我們將看到的，許多PCI要求更多地與網(wǎng)絡(luò)相關(guān)，但是，如果你沒有對完整的PCI有一個基本的了解，那么談?wù)撨@些東西還有什么意義呢？這些要求是：

• 區(qū)域1 – 建立和維護(hù)安全網(wǎng)絡(luò)
  • 要求1 – 安裝防火墻以保護(hù)您的環(huán)境。
  • 要求2 – 不要使用供應(yīng)商默認(rèn)配置文件或密碼。
• 區(qū)域2 – 保護(hù)持卡人數(shù)據(jù)
  • 要求3 – 保護(hù)存儲的持卡人數(shù)據(jù)。
  • 要求4 – 對在開放的公共網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)進(jìn)行加密。
• 區(qū)域3 – 維持漏洞管理程序
  • 要求5 – 使用并定期更新防病毒軟件。
  • 要求6 – 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序。
• 區(qū)域4 – 實(shí)施強(qiáng)大的訪問控制機(jī)制
  • 要求7 – 基于需要了解的原則限制對持卡人數(shù)據(jù)的訪問。
  • 要求8 – 為每個具有計算機(jī)訪問權(quán)限的人分配一個唯一的ID。
  • 要求9 – 限制對持卡人數(shù)據(jù)的物理訪問。
• 區(qū)域5 – 定期監(jiān)控和測試網(wǎng)絡(luò)
  • 要求10 – 跟蹤和監(jiān)控/記錄對網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問。
  • 要求11 – 定期測試安全系統(tǒng)和流程。
• 區(qū)域6 – 維持信息安全策略
  • 要求12 – 維持一項(xiàng)解決信息安全的策略。

其中一些項(xiàng)目與政策決策有關(guān)，即制定明確說明你如何努力保護(hù)卡信息并確保網(wǎng)絡(luò)和應(yīng)用程序整體安全的策略的決策。其他要求與網(wǎng)絡(luò)本身以及你可以用來保護(hù)它的軟件有關(guān)。其中一些涉及流程的設(shè)計階段，你如何構(gòu)建和設(shè)置你的應(yīng)用程序。幾乎沒有任何要求與代碼有關(guān)，而且沒有任何要求描述建議你保持安全的特定編程技術(shù)。為了保持篇幅相對較短，我將限制我的諷刺和智慧（比例為70:30），并關(guān)注最后兩組。

要求2 – 不要使用供應(yīng)商默認(rèn)的配置文件/密碼

在許多方面，這幾乎是不言而喻的。自從我們開始擔(dān)心這些事情以來，安全人員一直在告訴我們這一點(diǎn)。但令人驚訝的是，在許多我們使用的軟件（例如MySQL）中，使用默認(rèn)帳戶和密碼是多么容易（尤其是在你第一次安裝東西并且一切都處于“測試”狀態(tài)時）。這里的危險性之所以增加，是因?yàn)槲覀兇蠖鄶?shù)人都是圍繞一些基本的軟件來構(gòu)建我們的應(yīng)用程序，而不是從頭開始做整個事情。它可能只是一個我們用來處理加密和密鑰存儲的包（見下文），也可能是整個應(yīng)用程序的框架。無論哪種方式，易于記住，易于實(shí)現(xiàn)：不要使用默認(rèn)帳戶。

要求3 – 保護(hù)存儲的持卡人數(shù)據(jù)

在我記得的大多數(shù)高調(diào)的零售網(wǎng)站黑客攻擊事件中，都涉及到網(wǎng)站保存的卡或其他數(shù)據(jù)的盜竊，因此我將此列為PCI標(biāo)準(zhǔn)中最重要的部分。顯然，你存儲的任何卡數(shù)據(jù)都應(yīng)該被加密。而且你需要做好加密工作。對于那些非常了解加密的人來說，你知道做好數(shù)據(jù)加密工作意味著你已經(jīng)很好地管理了加密密鑰。密鑰管理圍繞著生成、存儲和更新加密過程中使用的密鑰的問題展開。存儲它們可能是一個大問題，因?yàn)槟阆氪_保沒有人能夠進(jìn)入系統(tǒng)并竊取密鑰。管理策略在如何將密鑰分成多個部分方面有所不同；如果你想了解密鑰管理的介紹，我建議你從Securosis的這份白皮書開始，然后繼續(xù)學(xué)習(xí)，盡管要注意，水會很快變得很深。當(dāng)然，如果你使用商業(yè)產(chǎn)品來處理加密，那么你可以將密鑰管理留給他們，盡管你想確保他們的流程是可靠的，并且它符合你的方法。大多數(shù)商業(yè)產(chǎn)品都是考慮到PCI而開發(fā)的，因此將根據(jù)PCI標(biāo)準(zhǔn)構(gòu)建，但這仍然不會妨礙你進(jìn)行二次檢查。此外，如果你最大限度地減少甚至消除你存儲的數(shù)據(jù)量，那么保護(hù)數(shù)據(jù)這項(xiàng)任務(wù)將變得容易得多。也就是說，持卡人數(shù)據(jù)可以是他們的姓名、生日、卡號、有效期、卡驗(yàn)證（CV）碼（卡背或卡正面上的三位或四位數(shù)字）等等。你保存的項(xiàng)目越少，你需要加密的就越少，你的責(zé)任就越小。幸運(yùn)的是，這是一個PCI標(biāo)準(zhǔn)相當(dāng)具體的領(lǐng)域，它明確規(guī)定了你可以和不可以保存哪些數(shù)據(jù)。你可以保存卡號（PAN – 主要帳戶號碼）、持卡人姓名、有效期和服務(wù)代碼。如果你確實(shí)保存了PAN，那么如果你要顯示它，則必須對其進(jìn)行屏蔽，最多只能顯示前六位和后四位數(shù)字。你不能存儲PIN、CV碼或磁條的全部內(nèi)容。在設(shè)計階段，你必須問自己的問題是，你真的想保留多少這些令人討厭的數(shù)據(jù)。保留它的唯一真正原因是你希望在下一次為你的客戶提供輕松的體驗(yàn)。你可以保留生日，這樣你就可以在生日的時候給他們發(fā)一個友好的小邀請。所有這些數(shù)據(jù)都必須被加密和保護(hù)，所以確保你從中獲得了一些可靠的商業(yè)用途。要求4（對任何正在傳輸?shù)臄?shù)據(jù)進(jìn)行加密）算是這部分內(nèi)容的一部分，但我將其視為基礎(chǔ)設(shè)施的一部分，不再贅述。

要求6 – 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序

這是與代碼相關(guān)的要求。不是針對特定的函數(shù)或類，而是至少確保你遵循一般安全標(biāo)準(zhǔn)并嘗試使你的東西盡可能安全。因此，你只需使用編碼技術(shù)（無論使用哪種語言），這些技術(shù)不會使你的應(yīng)用程序容易受到明顯的攻擊。例如，你嘗試通過在接受表單數(shù)據(jù)時采取預(yù)防措施來防止SQL注入，你嘗試阻止XSS等等。有關(guān)避免一些更常見安全問題的更多信息，請參閱SitePoint上發(fā)布的其他一些文章（這篇文章和這篇文章，以及如果你搜索“安全”可以找到的其他文章）。

要求7和8 – 限制訪問和唯一ID

這兩件事都與你訪問應(yīng)用程序的方式有關(guān)，因此介于編碼和設(shè)計之間。要求每個訪問者都有一個唯一的ID應(yīng)該沒有問題，除非——你恰好允許人們通過訪客配置文件登錄和購物。我可以想到幾個允許你這樣做的網(wǎng)站，它本身并不是邪惡的，但使用組配置文件很危險，你必須格外小心，以確保它們沒有太多權(quán)限。一般來說，你應(yīng)該努力設(shè)置唯一的ID，即使ID不是你保存的ID。例如，你可以讓人們以訪客身份登錄，但隨后立即在后臺為該事件創(chuàng)建一個唯一的配置文件。我們還希望限制對持卡人數(shù)據(jù)的物理訪問。這可能是對未來的暗示，那時我們將能夠像艾薩克·阿西莫夫的《神奇旅程》中那樣將人們縮小到亞微觀尺寸，并將他們注入存儲設(shè)備以獲取卡數(shù)據(jù)的1和0……或者它也可能與鎖定的服務(wù)器機(jī)房、所有訪客的徽章、不讓任何人接近備份磁帶等事情有關(guān)。

要求10 – 跟蹤和記錄對資源/數(shù)據(jù)的所有訪問

最后，不要低估跟蹤和記錄訪問資源或持卡人數(shù)據(jù)的所有內(nèi)容的重要性……我的意思是所有內(nèi)容。應(yīng)該記錄的事件包括登錄、注銷、數(shù)據(jù)訪問；數(shù)據(jù)更新，實(shí)際上任何涉及資源或數(shù)據(jù)元素并且你認(rèn)為可能對審計跟蹤或刑事審判中的證據(jù)有用的內(nèi)容。你必須實(shí)現(xiàn)一個安全的日志，每天檢查日志以查找問題，并將日志保存一年。對于PHP用戶來說，熟悉來自PHP-FIG組的PSR-3日志記錄標(biāo)準(zhǔn)將是有益的，它提供了一種統(tǒng)一而靈活的方式來設(shè)置你的日志記錄。與其在這里深入探討，我建議你閱讀Patrick Mulvey的介紹性文章。

總結(jié)

我想真正強(qiáng)調(diào)的一件事是，PCI不是錦上添花。它是創(chuàng)建使用信用卡數(shù)據(jù)的應(yīng)用程序的基礎(chǔ)部分。如果你正在編寫一個確實(shí)接收此類數(shù)據(jù)的應(yīng)用程序，那么無論你的客戶是否知道，它都適用于你。大部分內(nèi)容都高于編碼級別，但它是真實(shí)的，你仍然必須注意它。圖片來自Fotolia

關(guān)于PCI合規(guī)性和PHP開發(fā)的常見問題解答（FAQ）

什么是PCI合規(guī)性，為什么對PHP開發(fā)人員很重要？

PCI合規(guī)性是指遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），這是一套安全標(biāo)準(zhǔn)，旨在確保所有接受、處理、存儲或傳輸信用卡信息的公司都維護(hù)一個安全的環(huán)境。對于PHP開發(fā)人員來說，了解和實(shí)施PCI合規(guī)性至關(guān)重要，因?yàn)樗兄诒Ｗo(hù)客戶的敏感數(shù)據(jù)，降低數(shù)據(jù)泄露的風(fēng)險，并建立與用戶的信任。不遵守規(guī)定可能導(dǎo)致處罰、罰款，甚至喪失處理支付的能力。

PHP開發(fā)人員如何確保PCI合規(guī)性？

PHP開發(fā)人員可以通過幾個關(guān)鍵步驟來確保PCI合規(guī)性。這些步驟包括使用安全的編碼實(shí)踐來防止常見的漏洞，加密敏感數(shù)據(jù)，實(shí)施強(qiáng)大的訪問控制措施，定期測試和更新系統(tǒng)和應(yīng)用程序，以及維護(hù)信息安全策略。

PHP中有哪些常見的安全漏洞，如何防止它們？

PHP中的一些常見安全漏洞包括SQL注入、跨站點(diǎn)腳本（XSS）和跨站點(diǎn)請求偽造（CSRF）?？梢酝ㄟ^使用預(yù)準(zhǔn)備語句或參數(shù)化查詢來防止SQL注入，驗(yàn)證和清理用戶輸入來防止XSS，以及使用反CSRF令牌來防止CSRF攻擊來防止這些漏洞。

PHP開發(fā)人員如何安全地處理信用卡數(shù)據(jù)？

PHP開發(fā)人員可以通過遵循PCI DSS要求來安全地處理信用卡數(shù)據(jù)。這包括加密在開放的公共網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)，保護(hù)存儲的持卡人數(shù)據(jù)，實(shí)施強(qiáng)大的訪問控制措施，定期監(jiān)控和測試網(wǎng)絡(luò)，以及維護(hù)信息安全策略。

加密在PCI合規(guī)性中扮演什么角色？

加密在PCI合規(guī)性中扮演著至關(guān)重要的角色。它通過將敏感數(shù)據(jù)（例如信用卡信息）轉(zhuǎn)換為無法讀取的格式來幫助保護(hù)敏感數(shù)據(jù)，只有使用解密密鑰才能對其進(jìn)行解密。這確保即使在傳輸過程中截獲數(shù)據(jù)，未經(jīng)授權(quán)的個人也無法讀取或使用它。

PHP開發(fā)人員如何實(shí)施強(qiáng)大的訪問控制措施？

PHP開發(fā)人員可以通過確保為每個具有計算機(jī)訪問權(quán)限的人分配一個唯一的ID，限制對持卡人數(shù)據(jù)的物理訪問，以及根據(jù)業(yè)務(wù)需要了解的原則限制對持卡人數(shù)據(jù)的訪問來實(shí)施強(qiáng)大的訪問控制措施。此外，他們應(yīng)該定期審查訪問控制措施并根據(jù)需要進(jìn)行更新。

不遵守PCI DSS 會有什么后果？

不遵守PCI DSS 會導(dǎo)致一系列后果，包括罰款、處罰，甚至喪失處理信用卡支付的能力。此外，它還會損害公司的聲譽(yù)并導(dǎo)致客戶信任度下降。

PHP開發(fā)人員多久應(yīng)該測試一次他們的系統(tǒng)和應(yīng)用程序是否存在安全漏洞？

PHP開發(fā)人員應(yīng)該定期測試他們的系統(tǒng)和應(yīng)用程序是否存在安全漏洞。測試頻率將取決于PCI DSS 的具體要求，但作為最佳實(shí)踐，系統(tǒng)和應(yīng)用程序至少應(yīng)每年測試一次，以及在任何重大更改之后進(jìn)行測試。

什么是信息安全策略，為什么它對PCI合規(guī)性很重要？

信息安全策略是一家公司遵循的一套規(guī)則和程序，用于保護(hù)其信息資產(chǎn)。它對于PCI合規(guī)性很重要，因?yàn)樗兄诖_保所有員工都了解他們在保護(hù)持卡人數(shù)據(jù)方面的角色和責(zé)任，并為實(shí)施和維護(hù)安全控制提供框架。

PHP開發(fā)人員如何隨時了解最新的PCI DSS 要求和安全最佳實(shí)踐？

PHP開發(fā)人員可以通過定期檢查官方PCI安全標(biāo)準(zhǔn)委員會網(wǎng)站，訂閱相關(guān)的安全新聞通訊和博客，參加安全會議和網(wǎng)絡(luò)研討會，以及參加安全培訓(xùn)和認(rèn)證計劃來隨時了解最新的PCI DSS 要求和安全最佳實(shí)踐。

以上是PHP主| PCI合規(guī)性及PHP意味著什么的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！