Javascript 前端PCI合规性（PCI DSS）

我目前正在从事这个项目，它的一个特点是电子商务，这样我们的系统就应该负责用户信用卡信息和其他凭证信息的安全

我知道任何处理用户支付卡信息的web服务都应该遵循PCI合规性（支付卡信息数据安全标准）。作为前端开发人员，我需要弄清楚我应该关注和需要学习PCI DSS的哪些部分

有什么建议、参考或建议吗

---

感谢您的帮助

PCI-DSS非常复杂，但简而言之：要遵循的大多数规则都与后端处理和存储有关。关于前端的一点是要求3.3：

显示时遮罩平移（前六位和后四位为 您可以显示的最大位数），以便仅授权 有正当商业需要的人可以看到比第一个更多的东西 PAN的六位/最后四位数字。这并不取代更严格的标准 显示持卡人数据的要求， 例如在销售点收据上

但我认为在前端这样做是个坏主意。最好将已屏蔽的数据发送到前端，因为客户端上的所有内容都可以被操作（例如，您通过javascript屏蔽卡号，但在页面源代码中可以找到完整的卡号）

当然还有第四条：

4.1使用强大的加密和安全协议，在通过公开、公开的网络传输期间保护敏感的持卡人数据 网络（如互联网、无线技术、蜂窝技术、， 通用分组无线业务[GPRS]，卫星通信）。确保 无线网络传输持卡人数据或连接至 持卡人数据环境使用行业最佳实践实施 用于身份验证和传输的强加密。（在哪里 如果使用SSL/早期TLS，则必须满足PCI DSS附录A2中的要求 已完成。）

4.2不得通过终端用户消息技术（例如，电子邮件、即时消息、SMS、聊天等）发送未受保护的PAN

4.3确保相关安全政策和操作程序得到记录、使用，并为所有受影响方所知

请确保使用强传输层加密（TLS 1.2），并且只允许使用安全密码，这样从前端传输到后端的数据就不会被嗅探网络的人读取。 您应该知道，前端的所有保护工作都可能会受到脏电脑的破坏，这意味着电脑感染了特洛伊木马和其他恶意软件。这主要包含在要求5中

5.1在通常受恶意软件影响的所有系统（尤其是个人计算机和服务器）上部署防病毒软件。对于 通常不受恶意软件影响的系统，定期执行 评估以评估不断演变的恶意软件威胁，并确认 这样的系统仍然不需要防病毒软件

5.2确保所有防病毒机制保持最新，执行定期扫描，生成审计日志，并根据PCI DSS保留这些日志 要求10.7

5.3确保防病毒机制正在积极运行，用户不能禁用或更改，除非经 在有限的时间内，根据具体情况进行管理

5.4确保相关安全政策和操作程序得到记录、使用，并为所有受影响方所知

---

最后，请确保您的应用程序已被禁用，因为这是必需的。

如果您有任何类型的设备连接到浏览器，如蓝牙或无线扫描仪、qr阅读器、swiper等，则这些设备不符合严格的PCI标准。设备上捕获的数据需要在设备上进行加密，即使是一根简单的USB电缆将两者连接起来。

请与贵公司的安全工程师和律师联系。你好，弗兰克，希望你很好，我知道已经有一段时间了，但你的回答对我帮助很大，我希望你能帮助我澄清更多的问题。在存储到数据库之前，我已使用aes-256-gcm加密了我的所有数据，包括令牌和个人信息，然后在我从前端发出任何API请求时对其进行解密。我没有在我的前端做任何加密，这是不是不符合PCI？