SQL Server 2008 + PCI 合规性？与 PCI 以及对称密钥有关！

Question

我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文档，其中说我需要保护信用卡号、到期日期和持卡人姓名。永远不会存储安全代码。

在他们的文档中，它只是说“保护”。这是说我需要加密数据库中的这 3 列吗？我以为只有数字才是需要加密的数据。不管怎样，我都同意。

如果我需要加密所有三列，我是否共享一个证书并拥有 3 个对称密钥，或者我只需要每个证书 1 个，并且该对称密钥用于所有 3 列？我问的原因是在关于加密列的 BoL 文档中，密钥是根据他们正在加密的列专门命名的。

感谢您的帮助！

Answer 1

如果您存储 PAN（卡号），那么它绝对必须加密。

如果您存储持卡人姓名、到期日期、发行号（并且它们可以链接到 PAN），那么它们应该被加密，但是（我的理解）这并不是绝对必要的。 PCI-DSS 仅规定 PAN 至少必须加密。

CV2/AVS/CSC 代码无法在授权后存储，理想情况下您想证明它根本没有存储（例如 - 仅在执行授权时保留在内存中）

关于证书/密钥 - 您可以只使用一把密钥所有卡相关数据的加密。最佳实践是不要将密钥用于多种用途，因此，如果您有其他（与卡无关的）加密数据，请使用单独的密钥。

最困难的部分是你没有真正详细提到的部分——那就是密钥管理。为了满足 PCI 要求，密钥必须存储在与数据库不同的物理盒子上，并且您需要能够至少每年更改一次密钥。 SQL 2008 通过可扩展密钥管理 (EKM) 支持这

一点。最好与独立的 QSA（合格安全评估员）讨论，为了满足 PCI 合规性，您有时需要让他们参与。您的 QSA 将能够就此类问题为您提供指导，并且最终您应该遵循他/她的建议才能满足合规性。

值得一提的是，大多数人很快就会意识到 PCI 合规性会带来多大的负担，并希望通过使用第三方支付网关来最大程度地减轻这种负担。大多数支付网关将允许您执行授权/结算并将卡详细信息存储在其（已符合 PCI 标准）服务器上。然后，如果您需要对该卡执行进一步的收费/退款，您只需存储引用这些付款详细信息的 TokenId。

不管怎样，祝你好运！

Answer 2

来自规范：https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

要求 3：保护存储的持卡人数据

加密、截断、屏蔽和散列等保护方法是持卡人数据保护的关键组成部分。如果有入侵者
规避其他网络安全控制并获取加密数据的访问权限，如果没有适当的加密密钥，数据将无法读取
对那个人来说无法使用。保护存储数据的其他有效方法应被视为潜在的风险缓解机会。为了
例如，最小化风险的方法包括除非绝对必要，否则不存储持卡人数据；如果不需要完整的 PAN，则截断持卡人数据
需要，并且不在未加密的电子邮件中发送 PAN。

我认为这强烈建议你不要

1. 存储，除非你必须，
2. 如果必须的话，如果可以的话存储一部分，
3. 如果你存储任何东西，加密它。