https、ssl和pci dss遵从性之间的差异

大家好，请描述一下我。我总是感到困惑。 HTTPS、SSL和PCI合规性之间有什么区别。

HTTPS如何工作

SSL如何工作

---

PCI是如何工作的？

SSL，后来被（TLS）取代，基本上是一组加密协议，用于确保从客户端端点（如web浏览器）到服务器的私人通信。除了私人通信，在正确实施时，它还包括客户端和服务器的相互身份验证（即客户端验证它正在与它认为正在与之通信的服务器通信，服务器验证客户端确实是他们声称的自己）和某种防篡改；这些都是为了防止和提供部分防御

HTTPS只是意味着您正在通过TLS或SSL使用HTTP

正如我在评论中所描述的，PCI标准与SSL或HTTPS非常不同。PCI标准正是这样——一种数据安全标准，而不是特定的网络或加密协议

以下是PCI compliance的含义说明（来自：

支付卡行业数据安全标准（PCI DSS）是一套 安全标准旨在确保所有接受， 处理、存储或传输信用卡信息，维护安全 环境

需要注意的是，PCI合规性（以及一般的软件安全性）远不止是安全的数据交换，这一点非常重要。事实上，我链接到上述地址的常见问题解答明确指出：；在回答“如果我有SSL证书，我是否符合PCI？”的问题时，他们说：

否。SSL证书不能保护web服务器免受恶意攻击 或者入侵。高保证SSL证书提供了第一层 客户的安全和保证。。。但还有其他步骤可以解决这个问题 实现PCI合规性

数据安全性考虑的其他一些例子：

• 您是否在服务器上正确存储密码和其他敏感数据（例如，对其进行盐析等）
• 您是否有足够的网络安全（如防火墙）？（注意，正如我在下面链接的那本书中所描述的，即使这样，你也不应该认为仅仅拥有一个防火墙就是对安全问题的完全防御）
• 您是否有足够的人身安全措施？例如，有人走进您的服务器机房并访问服务器的可行性如何？您是否必须扫描徽章才能进入服务器机房，并且只有授权员工才能访问
• 您是否使用运行代码
• 代码是否已针对常见的安全漏洞（如和）进行了审查和测试

有一本很好的书叫做《安全漏洞》，它描述了常见的安全漏洞。

SSL 定义：SSL（安全套接字层）是一种安全协议，常用于电子通信、Verisign等环境中，用于在网络交易期间保护个人身份信息，以及信用卡号和登录等其他敏感数据。SSL证书通常需要购买并安装在web服务器上

更多阅读：

HTTPS 定义：HTTPS是HTTP+SSL证书

HTTPS（超文本传输协议安全）是HTTP的安全版本。“S”表示通过浏览器发送的所有数据都是加密的。 示例：谷歌搜索

PCI

---

定义：PCI DSS合规支付卡行业数据安全标准是信用卡支付的全球数据安全标准。我同意“像SSL一样实现PCL”是没有意义的。PCI合规性管理从硬件（读卡器或销售点）到支付网关的一切。使用已经符合PCI标准的支付处理器要容易得多，因为独立遵守标准可能不值得花时间。Square在这里有一个基本指南：

这个问题对于这种格式来说太宽泛了。然而，PCI与其他两项无关——它只是为存储/使用信用卡信息的公司制定的一套标准。这不是一个实际的协议。我们需要实现类似于SSL的PCI。“像SSL一样实现PCL”的意思是什么？这根本没有道理，这是一个苹果对桔子的比较。我对这个话题是新手。SSl为我们提供了安全的数据传输，而不是我们为什么需要PCI？PCI合规性不仅仅是安全的数据传输。数据安全的意义远不止这些；您可以以完全安全的方式交换信息，并以完全不安全的方式存储信息。例如，不需要它的人是否可以轻松地物理访问您的服务器？你有密码吗？您是否正确实施了防火墙？您的服务器是否有病毒扫描/反间谍软件？等