sql >> Databáze >  >> RDS >> Mysql

Ukládání čísel kreditních karet v SESSION – způsoby, jak to obejít?

Uložte podrobnosti o kartě na libovolné médium trvalého uložení (databáze, cokoliv), ale zašifrujte číslo karty jedinečným a náhodným klíč, který uložíte do relace. Tímto způsobem, pokud dojde ke ztrátě relace, klíč je také – což vám poskytne dostatek času na vyčištění dat, jejichž platnost vypršela/opuštěná.

Také se ujistěte, že jsou vaše relace chráněny před únosem. Na to existují hardwarová řešení, ale jednoduchým způsobem v kódu je spojit ID relace s hashem prvního oktetu IP plus uživatelského agenta. Není spolehlivý, ale pomáhá.

Upravit :Klíčem k minimalizaci rizika je zajistit, abyste se těchto informací co nejdříve zbavili. Ihned po dokončení transakce odstraňte záznam z databáze. Potřebujete také průběžnou úlohu (řekněme každých 5 minut), která odstraní všechny záznamy starší, než je váš časový limit relace (obvykle 20 minut). Také pokud k tomu používáte databázi velmi dočasná data, ujistěte se, že nejsou v automatickém zálohovacím systému.

Toto řešení opět není spolehlivé a nejsem si ani 100% jistý, že je v souladu s bezpečnostními požadavky CC. K aktivnímu dešifrování zákaznických CC informací by však mělo vyžadovat, aby útočník měl úplnou runtime kontrolu nad vaším prostředím, a pokud je kompromitován snímek vaší databáze (mnohem pravděpodobnější/běžnější), může být hrubě vynuceno pouze jedno CC najednou, což je asi to nejlepší, v co můžete doufat.



  1. Funkce Mysql vrací hodnotu z dotazu

  2. programově kontroluje otevřené připojení v JDBC

  3. Získávání ORA-03115:Nepodporovaný datový typ sítě nebo chyba reprezentace při načítání pole varchar z anonymního pl/sql

  4. Konečné schéma kódování emotikonů