Database 存储信用卡号-PCI？

在数据库中存储信用卡号需要遵循哪些PCI规则

1） 允许这样做吗？ 2） 如果是，我们必须遵守哪些规则

我在看这个网站 我应该在这里读哪个文件？

1）是的，这是允许的，但非常非常不鼓励。在你的数据库中有这些信息会使你成为黑客们极有吸引力的目标。如果你认为你能保护它，再想想。黑客们以优异的安全性击败了公司的安全性。你的安全不会有任何改善

---

2） 您必须遵守所概述的PCI规则。但你可能会发现更容易理解。请转到第14页了解您需要了解的内容。基本上，您可以存储它，但它必须根据PCI标准进行加密。您的服务器和网络也必须是安全的。如果拼图中的任何部分不符合PCI标准，则无法存储信用卡号。这排除了大多数共享主机公司作为解决方案的可能性。

这不是一个直接的答案，而是一个建议。请不要投反对票；我只是想帮忙。在PCI法规遵从性方面积累了很多经验之后，我强烈建议您尽可能避免在系统中使用信用卡信息

我们使用的方法（非常成功）是标记化。有一些服务将为您收集和存储您的信用卡信息。您进行API调用以获取令牌，通常是某种哈希，它表示信用卡的主帐号。当你想给卡开账单时，你要传递代币和其他交易细节，他们会处理付款

下面是一篇关于该过程的简单文章：

现在有很多选择：

---

有关该方法的更多信息，您可以使用。

您可以，但这样做很昂贵

您需要由另一个服务或专用DNS服务器提供DNS

您需要有一台运行SQL server数据库的专用服务器，而不是其他服务器

您需要使用PCI认可的软件

数据库服务器需要与Web服务器位于同一数据中心内，否则性能会很差

---

因此，最好将您的站点托管在PCI安全主机上，或者按照我所述设置服务器。

尝试搜索stackoverflow.com以获取“PCI合规性”。你会得到的不仅仅是便宜货。即使允许，你真的想要吗？与安全存储它们带来的麻烦相比，用户必须重新输入它们带来的不便很小。我认为大多数用户也不喜欢网站存储他们的卡号。如果你认为你的安全性和亚马逊一样好，那就把它存储起来。这是非常方便，它确实使我更有可能购买。没有真正回答你的问题，但我想我会说你的模型可以很好。@Johnny-问题是你不需要这么做。授权.net和Braintree，我相信到目前为止，大多数其他主要网关都提供了安全的保险库，您不必担心PCI合规性，但您仍然可以访问该卡以向您的帐户收费。+1。我只是想评论一下，虽然加密很简单，但任何想要解决这一问题的人都不应该低估加密密钥管理的困难。如果你要存储信用卡号，你还必须关注对服务器的所有访问类型，包括物理访问。我在一家大公司为符合PCI标准的服务器进行了操作，我们做了以下工作：CC号码被加密（当然），对数据库服务器的访问仅限于web服务器的IP地址和操作团队IP地址的IP地址（我无法从家里甚至其他大楼连接），服务器被锁在一个笼子里（实际上有一条链条和锁）。即使我进入了华盛顿特区，我也无法进入这台机器。这不是一个直接的答案，但IMHO作为一种替代方法有很大的价值+1I于2106年12月将Adyen添加到代币化支付提供商列表中。我没有亲自使用它们，但我今天在我的JetBrains帐户中注意到这就是JetBrains使用的人。作为（IMHO）顶级开发工具提供商之一，我认为他们已经对Adyen进行了适当的安全性审查。我们使用了令牌化，但当您想迁移到其他信用卡处理器时，这是一场噩梦。@DD。我真的可以看到这种情况。我想你必须权衡这一点与自己管理具体信用卡数据的潜在噩梦。除非我在一家金融机构工作，该机构有一个非常胜任的安全部门，否则我仍然认为我更喜欢标记化。不过，你的情况和里程数会有所不同。祝你好运。DNS和这有什么关系？