理解PCI合規(guī)性及其對(duì)PHP開發(fā)的影響

PCI代表“支付卡行業(yè)”，但對(duì)許多人來說，它是一套由秘密國際卡特爾強(qiáng)加的模糊標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)旨在用繁重的法規(guī)和法律糾紛來埋葬毫無戒心的靈魂。事實(shí)的真相要枯燥得多。實(shí)際上，PCI是由信用卡公司和行業(yè)安全專家組成的聯(lián)盟制定的一套安全指南，用於規(guī)範(fàn)?wèi)?yīng)用程序在處理信用卡或借記卡信息時(shí)的行為。信用卡公司將這些標(biāo)準(zhǔn)強(qiáng)加於銀行，然後銀行將其強(qiáng)加於我們這些運(yùn)營電子商務(wù)網(wǎng)站的人。在本文中，我們將消除關(guān)於PCI的一些持續(xù)存在的誤解，從20,000英尺的高度了解PCI的內(nèi)容，然後重點(diǎn)關(guān)注與一般編碼和PHP相關(guān)的那些要求。

關(guān)鍵要點(diǎn)

• PCI（支付卡行業(yè)）標(biāo)準(zhǔn)是由信用卡公司和安全專家製定的安全指南，用於規(guī)範(fàn)?wèi)?yīng)用程序如何處理信用卡或借記卡信息。它們適用於所有接受信用卡信息進(jìn)行支付的人，包括小型電子商務(wù)網(wǎng)站。
• PCI標(biāo)準(zhǔn)包含12項(xiàng)基本要求，包括構(gòu)建和維護(hù)安全網(wǎng)絡(luò)、保護(hù)持卡人數(shù)據(jù)、維護(hù)漏洞管理程序、實(shí)施強(qiáng)大的訪問控制機(jī)制、定期監(jiān)控和測(cè)試網(wǎng)絡(luò)以及維護(hù)信息安全策略。
• PHP開發(fā)人員在創(chuàng)建處理信用卡數(shù)據(jù)的應(yīng)用程序時(shí)必須遵守這些標(biāo)準(zhǔn)。這包括不使用供應(yīng)商默認(rèn)配置文件或密碼、保護(hù)和加密存儲(chǔ)的持卡人數(shù)據(jù)、開發(fā)安全系統(tǒng)和應(yīng)用程序、限制訪問以及跟蹤和記錄對(duì)資源和數(shù)據(jù)的所有訪問。
• 雖然PCI標(biāo)準(zhǔn)提供安全方面的指南和想法，但它們並非具體的技術(shù)，也不能保證免受黑客攻擊。但是，遵守這些標(biāo)準(zhǔn)可以降低安全漏洞的可能性，並提高公司的法律和消費(fèi)者地位。
• 遵守PCI標(biāo)準(zhǔn)並非一次性任務(wù)，需要持續(xù)關(guān)注和年度審查。開發(fā)人員應(yīng)通過PCI安全標(biāo)準(zhǔn)委員會(huì)網(wǎng)站以及相關(guān)的安全新聞通訊、博客和培訓(xùn)計(jì)劃等資源，隨時(shí)了解最新的PCI要求和安全最佳實(shí)踐。

PCI誤解

毫不奇怪，圍繞PCI標(biāo)準(zhǔn)存在許多誤解。其中一個(gè)誤解是，它們就像黑手黨的行為準(zhǔn)則一樣，沒有寫在哪裡，因此可以按照你想要的方式解釋。當(dāng)然，這是不正確的。要了解PCI標(biāo)準(zhǔn)的完整說明，只需訪問pcisecuritystandards.org即可。另一個(gè)誤解是，PCI安全標(biāo)準(zhǔn)僅適用於銀行和大型零售商等“大公司”。它們適用於每一個(gè)接受信用卡信息來支付商品的人。如果你為你的母親編寫了一個(gè)PHP網(wǎng)站來出售她著名的檸檬派，那麼你就有了一個(gè)符合PCI指南的系統(tǒng)。第三個(gè)誤解是，如果你遵循PCI標(biāo)準(zhǔn)，那麼你將受到保護(hù)免受惡意黑客攻擊，你的數(shù)據(jù)將保持安全。當(dāng)然，這很好，但事實(shí)是，PCI標(biāo)準(zhǔn)是指南和想法，而不是具體的技術(shù)（它們必須含糊不清才能適應(yīng)所有架構(gòu)和平臺(tái)）。顯然，你越關(guān)注安全，被攻擊的機(jī)率就越小，但任何人都可能受到攻擊。如果你至少嘗試過滿足PCI的期望，那麼在法律和消費(fèi)者方面，你的評(píng)價(jià)都會(huì)更好。最後，PCI不是你做一次然後深呼吸就能完成的事情。該標(biāo)準(zhǔn)要求你每年進(jìn)行一次PCI審查，因此這就像質(zhì)量保證工作或傾聽你配偶的意見一樣，是一項(xiàng)持續(xù)進(jìn)行的工作。簡(jiǎn)單的事實(shí)是，PCI是每個(gè)從事處理信用卡數(shù)據(jù)的應(yīng)用程序的程序員都需要了解的事情，無論規(guī)模大小。是的，這就是為什麼經(jīng)銷商只收現(xiàn)金的原因。

PCI基礎(chǔ)知識(shí)

PCI標(biāo)準(zhǔn)由12項(xiàng)基本要求組成。該標(biāo)準(zhǔn)大約每?jī)赡旮乱淮?，在此期間會(huì)發(fā)佈各種更具體的指南文件，這些文件處理PCI世界中的某個(gè)子集。例如，在2013年2月，PCI人員發(fā)布了一份白皮書，討論了PCI和雲(yún)計(jì)算。這些特別報(bào)告也可從PCI網(wǎng)站獲得。正如我們將看到的，許多PCI要求更多地與網(wǎng)絡(luò)相關(guān)，但是，如果你沒有對(duì)完整的PCI有一個(gè)基本的了解，那麼談?wù)撨@些東西還有什麼意義呢？這些要求是：

• 區(qū)域1 – 建立和維護(hù)安全網(wǎng)絡(luò)
  • 要求1 – 安裝防火牆以保護(hù)您的環(huán)境。
  • 要求2 – 不要使用供應(yīng)商默認(rèn)配置文件或密碼。
• 區(qū)域2 – 保護(hù)持卡人數(shù)據(jù)
  • 要求3 – 保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)。
  • 要求4 – 對(duì)在開放的公共網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)進(jìn)行加密。
• 區(qū)域3 – 維持漏洞管理程序
  • 要求5 – 使用並定期更新防病毒軟件。
  • 要求6 – 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序。
• 區(qū)域4 – 實(shí)施強(qiáng)大的訪問控制機(jī)制
  • 要求7 – 基於需要了解的原則限制對(duì)持卡人數(shù)據(jù)的訪問。
  • 要求8 – 為每個(gè)具有計(jì)算機(jī)訪問權(quán)限的人分配一個(gè)唯一的ID。
  • 要求9 – 限制對(duì)持卡人數(shù)據(jù)的物理訪問。
• 區(qū)域5 – 定期監(jiān)控和測(cè)試網(wǎng)絡(luò)
  • 要求10 – 跟蹤和監(jiān)控/記錄對(duì)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問。
  • 要求11 – 定期測(cè)試安全系統(tǒng)和流程。
• 區(qū)域6 – 維持信息安全策略
  • 要求12 – 維持一項(xiàng)解決信息安全的策略。

其中一些項(xiàng)目與政策決策有關(guān)，即制定明確說明你如何努力保護(hù)卡信息並確保網(wǎng)絡(luò)和應(yīng)用程序整體安全的策略的決策。其他要求與網(wǎng)絡(luò)本身以及你可以用來保護(hù)它的軟件有關(guān)。其中一些涉及流程的設(shè)計(jì)階段，你如何構(gòu)建和設(shè)置你的應(yīng)用程序。幾乎沒有任何要求與代碼有關(guān)，而且沒有任何要求描述建議你保持安全的特定編程技術(shù)。為了保持篇幅相對(duì)較短，我將限制我的諷刺和智慧（比例為70:30），並關(guān)注最後兩組。

要求2 – 不要使用供應(yīng)商默認(rèn)的配置文件/密碼

在許多方面，這幾乎是不言而喻的。自從我們開始擔(dān)心這些事情以來，安全人員一直在告訴我們這一點(diǎn)。但令人驚訝的是，在許多我們使用的軟件（例如MySQL）中，使用默認(rèn)帳戶和密碼是多麼容易（尤其是在你第一次安裝東西並且一切都處於“測(cè)試”狀態(tài)時(shí)）。這裡的危險(xiǎn)性之所以增加，是因?yàn)槲覀兇蠖鄶?shù)人都是圍繞一些基本的軟件來構(gòu)建我們的應(yīng)用程序，而不是從頭開始做整個(gè)事情。它可能只是一個(gè)我們用來處理加密和密鑰存儲(chǔ)的包（見下文），也可能是整個(gè)應(yīng)用程序的框架。無論哪種方式，易於記住，易於實(shí)現(xiàn)：不要使用默認(rèn)帳戶。

要求3 – 保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)

在我記得的大多數(shù)高調(diào)的零售網(wǎng)站黑客攻擊事件中，都涉及到網(wǎng)站保存的卡或其他數(shù)據(jù)的盜竊，因此我將此列為PCI標(biāo)準(zhǔn)中最重要的部分。顯然，你存儲(chǔ)的任何卡數(shù)據(jù)都應(yīng)該被加密。而且你需要做好加密工作。對(duì)於那些非常了解加密的人來說，你知道做好數(shù)據(jù)加密工作意味著你已經(jīng)很好地管理了加密密鑰。密鑰管理圍繞著生成、存儲(chǔ)和更新加密過程中使用的密鑰的問題展開。存儲(chǔ)它們可能是一個(gè)大問題，因?yàn)槟阆氪_保沒有人能夠進(jìn)入系統(tǒng)並竊取密鑰。管理策略在如何將密鑰分成多個(gè)部分方面有所不同；如果你想了解密鑰管理的介紹，我建議你從Securosis的這份白皮書開始，然後繼續(xù)學(xué)習(xí)，儘管要注意，水會(huì)很快變得很深。當(dāng)然，如果你使用商業(yè)產(chǎn)品來處理加密，那麼你可以將密鑰管理留給他們，儘管你想確保他們的流程是可靠的，並且它符合你的方法。大多數(shù)商業(yè)產(chǎn)品都是考慮到PCI而開發(fā)的，因此將根據(jù)PCI標(biāo)準(zhǔn)構(gòu)建，但這仍然不會(huì)妨礙你進(jìn)行二次檢查。此外，如果你最大限度地減少甚至消除你存儲(chǔ)的數(shù)據(jù)量，那麼保護(hù)數(shù)據(jù)這項(xiàng)任務(wù)將變得容易得多。也就是說，持卡人數(shù)據(jù)可以是他們的姓名、生日、卡號(hào)、有效期、卡驗(yàn)證（CV）碼（卡背或卡正面上的三位或四位數(shù)字）等等。你保存的項(xiàng)目越少，你需要加密的就越少，你的責(zé)任就越小。幸運(yùn)的是，這是一個(gè)PCI標(biāo)準(zhǔn)相當(dāng)具體的領(lǐng)域，它明確規(guī)定了你可以和不可以保存哪些數(shù)據(jù)。你可以保存卡號(hào)（PAN – 主要帳戶號(hào)碼）、持卡人姓名、有效期和服務(wù)代碼。如果你確實(shí)保存了PAN，那麼如果你要顯示它，則必須對(duì)其進(jìn)行屏蔽，最多只能顯示前六位和後四位數(shù)字。你不能存儲(chǔ)PIN、CV碼或磁條的全部?jī)?nèi)容。在設(shè)計(jì)階段，你必須問自己的問題是，你真的想保留多少這些令人討厭的數(shù)據(jù)。保留它的唯一真正原因是你希望在下一次為你的客戶提供輕鬆的體驗(yàn)。你可以保留生日，這樣你就可以在生日的時(shí)候給他們發(fā)一個(gè)友好的小邀請(qǐng)。所有這些數(shù)據(jù)都必須被加密和保護(hù)，所以確保你從中獲得了一些可靠的商業(yè)用途。要求4（對(duì)任何正在傳輸?shù)臄?shù)據(jù)進(jìn)行加密）算是這部分內(nèi)容的一部分，但我將其視為基礎(chǔ)設(shè)施的一部分，不再贅述。

要求6 – 開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序

這是與代碼相關(guān)的要求。不是針對(duì)特定的函數(shù)或類，而是至少確保你遵循一般安全標(biāo)準(zhǔn)並嘗試使你的東西盡可能安全。因此，你只需使用編碼技術(shù)（無論使用哪種語言），這些技術(shù)不會(huì)使你的應(yīng)用程序容易受到明顯的攻擊。例如，你嘗試通過在接受表單數(shù)據(jù)時(shí)採取預(yù)防措施來防止SQL注入，你嘗試阻止XSS等等。有關(guān)避免一些更常見安全問題的更多信息，請(qǐng)參閱SitePoint上發(fā)布的其他一些文章（這篇文章和這篇文章，以及如果你搜索“安全”可以找到的其他文章）。

要求7和8 – 限制訪問和唯一ID

這兩件事都與你訪問應(yīng)用程序的方式有關(guān)，因此介於編碼和設(shè)計(jì)之間。要求每個(gè)訪問者都有一個(gè)唯一的ID應(yīng)該沒有問題，除非——你恰好允許人們通過訪客配置文件登錄和購物。我可以想到幾個(gè)允許你這樣做的網(wǎng)站，它本身並不是邪惡的，但使用組配置文件很危險(xiǎn)，你必須格外小心，以確保它們沒有太多權(quán)限。一般來說，你應(yīng)該努力設(shè)置唯一的ID，即使ID不是你保存的ID。例如，你可以讓人們以訪客身份登錄，但隨後立即在後臺(tái)為該事件創(chuàng)建一個(gè)唯一的配置文件。我們還希望限制對(duì)持卡人數(shù)據(jù)的物理訪問。這可能是對(duì)未來的暗示，那時(shí)我們將能夠像艾薩克·阿西莫夫的《神奇旅程》中那樣將人們縮小到亞微觀尺寸，並將他們注入存儲(chǔ)設(shè)備以獲取卡數(shù)據(jù)的1和0……或者它也可能與鎖定的服務(wù)器機(jī)房、所有訪客的徽章、不讓任何人接近備份磁帶等事情有關(guān)。

要求10 – 跟蹤和記錄對(duì)資源/數(shù)據(jù)的所有訪問

最後，不要低估跟蹤和記錄訪問資源或持卡人數(shù)據(jù)的所有內(nèi)容的重要性……我的意思是所有內(nèi)容。應(yīng)該記錄的事件包括登錄、註銷、數(shù)據(jù)訪問；數(shù)據(jù)更新，實(shí)際上任何涉及資源或數(shù)據(jù)元素並且你認(rèn)為可能對(duì)審計(jì)跟蹤或刑事審判中的證據(jù)有用的內(nèi)容。你必須實(shí)現(xiàn)一個(gè)安全的日誌，每天檢查日誌以查找問題，並將日誌保存一年。對(duì)於PHP用戶來說，熟悉來自PHP-FIG組的PSR-3日誌記錄標(biāo)準(zhǔn)將是有益的，它提供了一種統(tǒng)一而靈活的方式來設(shè)置你的日誌記錄。與其在這裡深入探討，我建議你閱讀Patrick Mulvey的介紹性文章。

總結(jié)

我想真正強(qiáng)調(diào)的一件事是，PCI不是錦上添花。它是創(chuàng)建使用信用卡數(shù)據(jù)的應(yīng)用程序的基礎(chǔ)部分。如果你正在編寫一個(gè)確實(shí)接收此類數(shù)據(jù)的應(yīng)用程序，那麼無論你的客戶是否知道，它都適用於你。大部分內(nèi)容都高於編碼級(jí)別，但它是真實(shí)的，你仍然必須注意它。 圖片來自Fotolia

關(guān)於PCI合規(guī)性和PHP開發(fā)的常見問題解答（FAQ）

什麼是PCI合規(guī)性，為什麼對(duì)PHP開發(fā)人員很重要？

PCI合規(guī)性是指遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），這是一套安全標(biāo)準(zhǔn)，旨在確保所有接受、處理、存儲(chǔ)或傳輸信用卡信息的公司都維護(hù)一個(gè)安全的環(huán)境。對(duì)於PHP開發(fā)人員來說，了解和實(shí)施PCI合規(guī)性至關(guān)重要，因?yàn)樗兄侗Ｗo(hù)客戶的敏感數(shù)據(jù)，降低數(shù)據(jù)洩露的風(fēng)險(xiǎn)，並建立與用戶的信任。不遵守規(guī)定可能導(dǎo)致處罰、罰款，甚至喪失處理支付的能力。

PHP開發(fā)人員如何確保PCI合規(guī)性？

PHP開發(fā)人員可以通過幾個(gè)關(guān)鍵步驟來確保PCI合規(guī)性。這些步驟包括使用安全的編碼實(shí)踐來防止常見的漏洞，加密敏感數(shù)據(jù)，實(shí)施強(qiáng)大的訪問控制措施，定期測(cè)試和更新系統(tǒng)和應(yīng)用程序，以及維護(hù)信息安全策略。

PHP中有哪些常見的安全漏洞，如何防止它們？

PHP中的一些常見安全漏洞包括SQL注入、跨站點(diǎn)腳本（XSS）和跨站點(diǎn)請(qǐng)求偽造（CSRF）。可以通過使用預(yù)準(zhǔn)備語句或參數(shù)化查詢來防止SQL注入，驗(yàn)證和清理用戶輸入來防止XSS，以及使用反CSRF令牌來防止CSRF攻擊來防止這些漏洞。

PHP開發(fā)人員如何安全地處理信用卡數(shù)據(jù)？

PHP開發(fā)人員可以通過遵循PCI DSS要求來安全地處理信用卡數(shù)據(jù)。這包括加密在開放的公共網(wǎng)絡(luò)上傳輸?shù)某挚ㄈ藬?shù)據(jù)，保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)，實(shí)施強(qiáng)大的訪問控制措施，定期監(jiān)控和測(cè)試網(wǎng)絡(luò)，以及維護(hù)信息安全策略。

加密在PCI合規(guī)性中扮演什麼角色？

加密在PCI合規(guī)性中扮演著至關(guān)重要的角色。它通過將敏感數(shù)據(jù)（例如信用卡信息）轉(zhuǎn)換為無法讀取的格式來幫助保護(hù)敏感數(shù)據(jù)，只有使用解密密鑰才能對(duì)其進(jìn)行解密。這確保即使在傳輸過程中截獲數(shù)據(jù)，未經(jīng)授權(quán)的個(gè)人也無法讀取或使用它。

PHP開發(fā)人員如何實(shí)施強(qiáng)大的訪問控制措施？

PHP開發(fā)人員可以通過確保為每個(gè)具有計(jì)算機(jī)訪問權(quán)限的人分配一個(gè)唯一的ID，限制對(duì)持卡人數(shù)據(jù)的物理訪問，以及根據(jù)業(yè)務(wù)需要了解的原則限制對(duì)持卡人數(shù)據(jù)的訪問來實(shí)施強(qiáng)大的訪問控制措施。此外，他們應(yīng)該定期審查訪問控制措施並根據(jù)需要進(jìn)行更新。

不遵守PCI DSS 會(huì)有什麼後果？

不遵守PCI DSS 會(huì)導(dǎo)致一系列後果，包括罰款、處罰，甚至喪失處理信用卡支付的能力。此外，它還會(huì)損害公司的聲譽(yù)並導(dǎo)致客戶信任度下降。

PHP開發(fā)人員多久應(yīng)該測(cè)試一次他們的系統(tǒng)和應(yīng)用程序是否存在安全漏洞？

PHP開發(fā)人員應(yīng)該定期測(cè)試他們的系統(tǒng)和應(yīng)用程序是否存在安全漏洞。測(cè)試頻率將取決於PCI DSS 的具體要求，但作為最佳實(shí)踐，系統(tǒng)和應(yīng)用程序至少應(yīng)每年測(cè)試一次，以及在任何重大更改之後進(jìn)行測(cè)試。

什麼是信息安全策略，為什麼它對(duì)PCI合規(guī)性很重要？

信息安全策略是一家公司遵循的一套規(guī)則和程序，用於保護(hù)其信息資產(chǎn)。它對(duì)於PCI合規(guī)性很重要，因?yàn)樗兄洞_保所有員工都了解他們?cè)诒Ｗo(hù)持卡人數(shù)據(jù)方面的角色和責(zé)任，並為實(shí)施和維護(hù)安全控制提供框架。

PHP開發(fā)人員如何隨時(shí)了解最新的PCI DSS 要求和安全最佳實(shí)踐？

PHP開發(fā)人員可以通過定期檢查官方PCI安全標(biāo)準(zhǔn)委員會(huì)網(wǎng)站，訂閱相關(guān)的安全新聞通訊和博客，參加安全會(huì)議和網(wǎng)絡(luò)研討會(huì)，以及參加安全培訓(xùn)和認(rèn)證計(jì)劃來隨時(shí)了解最新的PCI DSS 要求和安全最佳實(shí)踐。

以上是PHP主| PCI合規(guī)性及PHP意味著什麼的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！