我是一名Web开发人员,对系统pipe理和安全性知之甚less。 我可以在不牺牲安全的情况下build立一个网站来处理信用卡支付,支付,比特币支付或其他私人活动,同时使用托pipe主机或外包安全和pipe理?
当然,我可以使用Stripe等API处理付款,但这并不意味着有权访问我的服务器的用户不会使用秘密API密钥来收取客户和其他此类不当行为。
总之,没有安全/系统pipe理员的小型创业公司如何处理安全/pipe理,而不危害用户呢?
这不是一个技术问题,答案也不是技术问题。
我将服务器安装在定期接受PCI-DSS和SAS-70 II型合规性审核的数据中心中。 我与他们达成的协议规定,他们将把我的数据保密(与他们的一样)。
您需要与您开展业务的数据中心或托pipe服务提供商达成法律协议,不会将客户的数据从您的服务器上扫掉,而且您需要复制PCI合规性审计,以便在您的审计人员出现。
一切都取决于你的协议,他们将通过的authentication和审计,他们的政策,专家,build议,服务器软件维护,环境等。安全是一个巨大的事情 – 你需要一个人力来检查提供者。
PS
PCI-DSS与此无关! 他们无法检查您的服务器,这是他们的使命
根据VISA / MC / AMEX的要求,信用卡数据(所谓的敏感信息)不允许通过网站进行处理,直到达到大量交易(数百个1000),所以信用卡号码不会发送给您服务器,客户端被redirect到处理中心的支付站点,您将得到付款确认,这就是全部(如果您正在运行这样的网站 – 您已经知道)。 所以,PCI-DSS不会影响你,直到你达到这个数字。 我受雇于一个处理中心,我正在为网站( 3D安全等)进行安全支付,并成功通过了PCI-DSS。 PCI只关心敏感数据,没有别的。
当你的网站达到这个数字,我相信你会有pipe理员你自己的DC和安全团队:)