在使用ASP.NETWeb表单时,努力使信用卡信息远离共享服务器
针对那些无法负担PCI兼容服务器的客户,我打算将信用卡信息限制为通过SSL发布到网关的表单条目。我不在客户端共享服务器上存储CC信息。我的问题是关于使用服务器控件的ASP.NET web表单,以及表单信息是否以任何方式通过我的客户端共享且可能不安全的服务器运行,只需使用runat=server的表单元素即可。在这个表单中,我使用纯html输入元素来收集CC#、CVV#和过期日期,但submit元素使用runat=server,因为我在代码中有逻辑,如果不满足条件,它会限制按钮的可见性。如果您从来没有任何应该工作的回发,但是如果您有任何支持回发的控件,可能会包括cc信息(取决于viewstate)在使用ASP.NETWeb表单时,努力使信用卡信息远离共享服务器,asp.net,security,pci-compliance,Asp.net,Security,Pci Compliance,针对那些无法负担PCI兼容服务器的客户,我打算将信用卡信息限制为通过SSL发布到网关的表单条目。我不在客户端共享服务器上存储CC信息。我的问题是关于使用服务器控件的ASP.NET web表单,以及表单信息是否以任何方式通过我的客户端共享且可能不安全的服务器运行,只需使用runat=server的表单元素即可。在这个表单中,我使用纯html输入元素来收集CC#、CVV#和过期日期,但submit元素使用runat=server,因为我在代码中有逻辑,如果不满足条件,它会限制按钮的可见性。如果您从来
听起来您将有权访问cc信息,否则按钮是否可见是没有意义的…如果共享服务器上的表单接受卡的详细信息,那么服务器和网络必须符合PCI,没有存储详细信息这一事实无关紧要。考虑到它是一个共享服务器,实现法规遵从性几乎是不可能的
使卡数据远离共享服务器的最佳方法是使其页面主机具有一个IFrame,用于托管在专用兼容服务器上的页面。实际上,按钮的可见性取决于填写的“购买金额”字段。cc字段通过js在客户端进行验证。accepted.aspx页面位于my gateway服务器上,该服务器将经过消毒的订单输入发回订单数据库。我决心为小企业找到一个解决方案,使用价格合理的服务器。谢谢你的意见,我会调查viewstate的问题。啊,那就这样吧。如果cc信息从未到达您的服务器,您可能不在范围内(支付处理者可以设置一些要求,这使得无法确定)。谢谢@jmoreno。避开PCI而仍然安全是一件非常痛苦的事。不过我觉得这些小家伙活该。您如何看待在符合PCI标准的服务器上托管iFrame并将其提供给我的签出页面?我并不是在推荐他们的服务,只是为了证明这种方法是可以接受的:请参阅Evalons开发者指南。即使没有回发,这是真的吗?如果普通html表单通过ssl将数据发布到安全服务器,共享服务器是否未被绕过?我很想知道。承载表单的服务器在pci范围内,因此需要符合要求,原因是如果它被破坏/利用,攻击者(或数据中心员工)可能会修改页面和采集卡数据。pci试图通过强制执行强化网络/入侵检测/更改监控/物理安全/代码审查(也适用于普通html)来防止这种情况。感谢您的深入讨论。我的眼睛现在睁开了。我相信我必须为我的每个客户机在专用的兼容服务器上托管一个IFrame。