Php 确保持卡人数据的临时存储符合PCI-DSS要求？

我们必须确保这些临时数据是持久的，并且删除符合国防部的安全标准（擦除磁盘上的数据/避免磁盘上的存储）

我曾想将使用RIJNDAEL 256算法加密的数据+一个精心编制的秘密存储到memcache中，但我担心数据丢失/损坏

我也想到了MySQL和内存堆存储引擎，但到目前为止我还不知道它的可靠性

---

关于这个问题有什么想法吗？

存储卡数据是绝对必要的吗？有一些供应商（例如）将在不要求您的站点存储卡信息的情况下处理卡，从而减轻您遵守PCI的负担。

存储卡数据是绝对必要的吗？例如，有些供应商会在不要求您的站点存储卡信息的情况下处理卡，从而减轻您遵守PCI的负担。

这可能比您预期的麻烦更多。一旦您将卡的详细信息保存到磁盘，PCI-DSS的全部重量就压在您身上。这意味着您的整个网络（实际上是公司）都将受到严密的审查，以确保其安全，并遵循强有力的最佳实践建议

使用AES（256位Rijndael）是朝着正确方向迈出的一步，但与组织符合PCI的密钥管理系统的难度相比，实际的加密是微不足道的。密钥必须拆分（双重知识），不能与数据存储在同一个框中，必须能够至少每年旋转一次，等等

但最终，您需要证明您提出的任何解决方案都符合PCI。您通过注册QSA（合格安全评估员）的协助来证明您的合规性。最好的建议是现在就引入QSA，这样他们就可以建议采取什么方法，并在必要时指导您绕过陷阱

---

当项目完成时引入QSA是一种虚假的经济，因为如果它们使您的解决方案失败，您将重新开始

这可能比你想象的要麻烦。一旦您将卡的详细信息保存到磁盘，PCI-DSS的全部重量就压在您身上。这意味着您的整个网络（实际上是公司）都将受到严密的审查，以确保其安全，并遵循强有力的最佳实践建议

使用AES（256位Rijndael）是朝着正确方向迈出的一步，但与组织符合PCI的密钥管理系统的难度相比，实际的加密是微不足道的。密钥必须拆分（双重知识），不能与数据存储在同一个框中，必须能够至少每年旋转一次，等等

但最终，您需要证明您提出的任何解决方案都符合PCI。您通过注册QSA（合格安全评估员）的协助来证明您的合规性。最好的建议是现在就引入QSA，这样他们就可以建议采取什么方法，并在必要时指导您绕过陷阱

---

当项目完成时引入QSA是一种虚假的经济，因为如果它们使您的解决方案失败，您将重新开始

如果存储只是临时的，你绝对确定你需要存储它吗？如果可能的话，将其转出。一般来说，这是不值得承担责任的。@Matt，是的，我们需要存储数据，因为我们需要在持卡人对其银行进行身份验证后处理一些信用卡信息。（我们使用的是Visa验证和Securecode）如果存储只是临时的，您是否绝对确定需要存储它？如果可能，请将其转出。一般来说，这是不值得承担责任的。@Matt，是的，我们需要存储数据，因为我们需要在持卡人对其银行进行身份验证后处理一些信用卡信息。（我们使用的是Visa验证和Securecode）@Ed，是的，我们需要存储数据，因为我们需要在持卡人在其银行进行身份验证后处理一些信用卡信息。（我们使用的是Visa和Securecode验证）信用卡验证后多久，您会执行内部流程？数据存储多长时间？@Ed，是的，我们需要存储数据，因为我们需要在持卡人对其银行进行身份验证后处理一些信用卡信息。（我们使用的是Visa和Securecode验证）信用卡验证后多久，您会执行内部流程？数据存储多长时间？谢谢你的回答，我不知道密钥管理系统，我会调查一下。谢谢你的回答，我不知道密钥管理系统，我会调查一下。