https、ssl和pci dss遵从性之间的差异
大家好,请描述一下我。我总是感到困惑。 HTTPS、SSL和PCI合规性之间有什么区别。 HTTPS如何工作 SSL如何工作https、ssl和pci dss遵从性之间的差异,ssl,https,pci-compliance,Ssl,Https,Pci Compliance,大家好,请描述一下我。我总是感到困惑。 HTTPS、SSL和PCI合规性之间有什么区别。 HTTPS如何工作 SSL如何工作 PCI是如何工作的?SSL,后来被(TLS)取代,基本上是一组加密协议,用于确保从客户端端点(如web浏览器)到服务器的私人通信。除了私人通信,在正确实施时,它还包括客户端和服务器的相互身份验证(即客户端验证它正在与它认为正在与之通信的服务器通信,服务器验证客户端确实是他们声称的自己)和某种防篡改;这些都是为了防止和提供部分防御 HTTPS只是意味着您正在通过TLS或SS
PCI是如何工作的?SSL,后来被(TLS)取代,基本上是一组加密协议,用于确保从客户端端点(如web浏览器)到服务器的私人通信。除了私人通信,在正确实施时,它还包括客户端和服务器的相互身份验证(即客户端验证它正在与它认为正在与之通信的服务器通信,服务器验证客户端确实是他们声称的自己)和某种防篡改;这些都是为了防止和提供部分防御 HTTPS只是意味着您正在通过TLS或SSL使用HTTP 正如我在评论中所描述的,PCI标准与SSL或HTTPS非常不同。PCI标准正是这样——一种数据安全标准,而不是特定的网络或加密协议 以下是PCI compliance的含义说明(来自: 支付卡行业数据安全标准(PCI DSS)是一套 安全标准旨在确保所有接受, 处理、存储或传输信用卡信息,维护安全 环境 需要注意的是,PCI合规性(以及一般的软件安全性)远不止是安全的数据交换,这一点非常重要。事实上,我链接到上述地址的常见问题解答明确指出:;在回答“如果我有SSL证书,我是否符合PCI?”的问题时,他们说: 否。SSL证书不能保护web服务器免受恶意攻击 或者入侵。高保证SSL证书提供了第一层 客户的安全和保证。。。但还有其他步骤可以解决这个问题 实现PCI合规性
数据安全性考虑的其他一些例子:
- 您是否在服务器上正确存储密码和其他敏感数据(例如,对其进行盐析等)
- 您是否有足够的网络安全(如防火墙)?(注意,正如我在下面链接的那本书中所描述的,即使这样,你也不应该认为仅仅拥有一个防火墙就是对安全问题的完全防御)
- 您是否有足够的人身安全措施?例如,有人走进您的服务器机房并访问服务器的可行性如何?您是否必须扫描徽章才能进入服务器机房,并且只有授权员工才能访问
- 您是否使用运行代码
- 代码是否已针对常见的安全漏洞(如和)进行了审查和测试
定义:PCI DSS合规支付卡行业数据安全标准是信用卡支付的全球数据安全标准。我同意“像SSL一样实现PCL”是没有意义的。PCI合规性管理从硬件(读卡器或销售点)到支付网关的一切。使用已经符合PCI标准的支付处理器要容易得多,因为独立遵守标准可能不值得花时间。Square在这里有一个基本指南:这个问题对于这种格式来说太宽泛了。然而,PCI与其他两项无关——它只是为存储/使用信用卡信息的公司制定的一套标准。这不是一个实际的协议。我们需要实现类似于SSL的PCI。“像SSL一样实现PCL”的意思是什么?这根本没有道理,这是一个苹果对桔子的比较。我对这个话题是新手。SSl为我们提供了安全的数据传输,而不是我们为什么需要PCI?PCI合规性不仅仅是安全的数据传输。数据安全的意义远不止这些;您可以以完全安全的方式交换信息,并以完全不安全的方式存储信息。例如,不需要它的人是否可以轻松地物理访问您的服务器?你有密码吗?您是否正确实施了防火墙?您的服务器是否有病毒扫描/反间谍软件?等