solución de arquitectura única y segura para amenazas por debajo de 4

Navega tus respuestas
1

Un sitio web de comercio electrónico utiliza la pila LAMP alojada en un único servidor montado en bastidor ubicado en un centro de datos. En cada transacción, la información de la tarjeta de crédito se almacena en la base de datos MySQL en el centro de datos.

Para fines contables, los registros de transacciones (incluida la información de la tarjeta de crédito) se transmiten en formatos estándar sin cifrar, como archivos CSV o XML, al servidor de contabilidad. A intervalos regulares, un trabajo por lotes en el servidor LAMP extrae nuevas transacciones de la base de datos MySQL y las envía por FTP al servidor de contabilidad.

Una vez que se realiza la contabilidad, los registros de transacciones se encriptan y almacenan inmediatamente en una base de datos en algún servidor.

La empresa de comercio electrónico ha identificado varias amenazas de las que quiere proteger los números de las tarjetas de crédito y estas amenazas son:

  • Administrador de la base de datos: un empleado de la empresa con acceso autorizado a la base de datos podría iniciar sesión y bajar la información de la tarjeta de crédito
  • Centro de datos: un empleado del centro de datos podría sacar el servidor del rack y tomarlo, junto con todos los datos de la tarjeta de crédito
  • atacante de Internet: un atacante podría irrumpir en el sistema y robar la información de la tarjeta de crédito de la base de datos
  • atacante de Internet: un atacante podría interceptar la comunicación de los datos de la transacción desde el servidor de comercio electrónico al servidor de contabilidad

¿Qué es una única solución de arquitectura segura que brinda protección para los números de tarjetas de crédito nuevamente en las 4 amenazas mencionadas anteriormente? La seguridad física está fuera del alcance y me doy cuenta de que existen muchas otras amenazas potenciales, pero en este escenario, solo 4 amenazas anteriores.

Se me ocurrió una técnica de cifrado que se puede hacer mientras se transmiten o almacenan datos No estoy seguro de si esa es la respuesta más adecuada o convincente para esta pregunta.

    
pregunta Learning Security 01.02.2017 - 19:17
fuente

2 respuestas

1

La forma más fácil, barata y segura de tratar con datos de tarjetas de crédito y cumplir con la norma PCI para pequeñas empresas es no tratar con datos de tarjetas de crédito. Utilice un proveedor de pago externo como Paypal, Stripe, Google Wallet, eWAY, Braintree, etc. para no tener que lidiar con la seguridad de los datos de la tarjeta de crédito. Muchos de estos procesadores de pago también tienen funciones para transacciones preautorizadas para futuras transacciones y suscripciones.

    
respondido por el Lie Ryan 02.02.2017 - 03:02
fuente
0

En lugar de un cambio de arquitectura, considere un cambio en el proceso de negocios al intentar justificar la necesidad de almacenar los números de las tarjetas de crédito.     

respondido por el user138080 02.02.2017 - 02:28
fuente

Lea otras preguntas en las etiquetas

¿Qué significa este error de Hydra? ¿Debo mantener en secreto los valores de hash? [duplicar]