Encryption 即使使用https传输,信用卡号等敏感信息是否也应加密?
这是在云中的应用程序通过https连接上的vpn与内部应用程序通信的上下文中。(两个应用程序属于同一组织)Encryption 即使使用https传输,信用卡号等敏感信息是否也应加密?,encryption,payment-processing,pci-compliance,network-security,Encryption,Payment Processing,Pci Compliance,Network Security,这是在云中的应用程序通过https连接上的vpn与内部应用程序通信的上下文中。(两个应用程序属于同一组织) 因此,即使在使用上述内容时,是否需要通过加密信用卡信息来添加额外的安全层,以便其他应用程序需要使用预定义的密钥对其进行解密 如果你处理的是信用卡号码,那么你真的需要跟进。4.1规定,当通过开放或公共网络发送持卡人信息时,必须“适当”加密。它只声明HTTPS(因此必须启用SSL/TLS) 我很感激你没有把你的问题局限于信用卡信息 我想说,对于大多数事情来说,HTTPS是绝对好的。我以前必须加
因此,即使在使用上述内容时,是否需要通过加密信用卡信息来添加额外的安全层,以便其他应用程序需要使用预定义的密钥对其进行解密 如果你处理的是信用卡号码,那么你真的需要跟进。4.1规定,当通过开放或公共网络发送持卡人信息时,必须“适当”加密。它只声明HTTPS(因此必须启用SSL/TLS) 我很感激你没有把你的问题局限于信用卡信息 我想说,对于大多数事情来说,HTTPS是绝对好的。我以前必须加密第二个用户的密码(以验证第一个用户输入的表单上的信息,有点像签名),但这与使用HTTPS和加密无关
您的问题可能值得发布在是和否,这取决于您正在做什么。在哪些情况下它可能有用?这不是最终用户通信,这是一个组织的两个软件系统之间通过代码进行的通信。我投票关闭这个问题,因为它似乎属于on。我应该对它进行加密,以避免“中间人”类型的攻击。@Nicolas你说的是SSL代理。这需要一个已经受损的系统(例如,您雇主的定制盒子)。如果您在一个已经被破坏的系统上输入敏感数据,SSL代理是您最不担心的。如果你的雇主已经定制了你的盒子来接受代理证书,那么他们可能已经安装了一个密钥记录器来在加密之前捕获你的数据。这不是一个值得担心的可信场景。因此,就PCI而言,额外的加密不是必需的。虽然添加一点额外的加密是无害的,但密钥管理将是一个障碍……这会使问题复杂化,例如AES密钥。