目前,我们正在将现有的Web服务设置为符合PCI-DSS标准,而且我们对遵从性要求也有点不满。
总之,我们需要确保信用卡号码永远不会以纯文本的forms存储在任何地方。 我们的CC提交形成了关于SSL的所有工作,我们将信息存储在encryption的字段中,除了IIS日志之外,一切都是合规的。
我们的审计团队已经注意到,如果您在search框中input任何东西,我们提供网站上的其他function,则查询条件将被logging到IIS日志中。 如果用户将自己的信用卡号码放入此search框中,则该号码将以纯文本格式logging到IIS中。
有没有人处理这个问题? 我在网上找不到解决scheme,特别是考虑到PCI DSS中的其他要求,我们尽可能提供尽可能全面的审计logging。
谢谢
如果您控制IIS日志条目(我的意思是从您的search框到IIS日志工具的确切呼叫),您应该事先对其进行扫描,查找可能在PCI-DSS下的任何内容并将其屏蔽。