Attualmente sto creando una configurazione per prendere le informazioni della carta di credito. La seguente struttura è stata utilizzata:Migliora la sicurezza della password nella verifica del server
Server 1:
- utente MySQL impostato a sola lettura
- Dichiara le credenziali di accesso.
Uso l'hashing PBKDF2, fatto con una classe i basata su this code.
Server 2:
- utente MySQL impostato per leggere e scrivere
- contiene tutte le informazioni ai clienti della carta di credito
La mia domanda:
Se il server 1 memorizza la paswword in questo formato: alg orithm: iterazioni: sale: hash
Ad esempio: sha256:1000:Pe27BkIKkBHklogp9Io80iRKtF+6koly:nrYUwOlixwJECRcjBRKwQ+MVNMTbnYnm
Se un server è stato compromesso, mi sembra che avere la password in questo formato potrebbe rendere più facile per loro per rompere le password per il sito e accedere alle informazioni della carta di credito dell'utente.
Si tratta di un caso in cui è necessario utilizzare Mysql (AES_ENCRYPT() e AES_DECRYPT())?
Sto pensando troppo a questo?
Esiste un modo migliore per proteggere le informazioni nel server 1?
aggiornamento sulla base dei commenti
ho costruito il mio riscaldamento e aria sistema aziendale. Chiunque paghi online può archiviare le proprie informazioni cc con i quickbook se lo desiderano. Ho alcuni clienti più grandi che fatturiamo mensilmente in ufficio e processiamo i cc attraverso un terminale desktop. Questi clienti hanno profili dei clienti sui nostri server, ai quali possono accedere. Questi sono i client che voglio consentire di memorizzare le informazioni di cc. In questo modo non devo avere le informazioni di cc memorizzate su carta nel nostro ufficio per chiunque lo trovi.
È necessario leggere la documentazione PCI ed essere compatibile con esso, se effettivamente * si memorizzano i dati della carta di credito *. – deceze
Non eseguo realmente l'elaborazione cc. Ho solo bisogno di memorizzare le informazioni sul mio sistema aziendale, per pagamenti futuri, che sono fatti tramite i quickbook online –
Non importa se stai elaborando o meno, la conformità PCI riguarda la memorizzazione dei dettagli CC –