Obecnie tworzę konfigurację, aby pobrać informacje o karcie kredytowej. Poniższa struktura użyto:Ulepsz ochronę haseł podczas weryfikacji serwera.
Serwer 1:
- MySQL ustawiony na tylko do odczytu
- Przechowuje dane logowania użytkownika.
Używam funkcji mieszania PBKDF2, wykonanej przy użyciu klasy i opartej na this code.
Server 2:
- MySQL ustawić się czytać i pisać
- posiada wszystkich informacji klientom karty kredytowej użytkownik
Moje pytanie:
Jeśli serwer 1 przechowuje paswword w tym formacie: alg orithm: iteracje: sól: hash
Na przykład: sha256:1000:Pe27BkIKkBHklogp9Io80iRKtF+6koly:nrYUwOlixwJECRcjBRKwQ+MVNMTbnYnm
Jeśli jeden serwer została naruszona, to wydaje mi się, że o hasło w tym formacie stałaby się dla nich łatwe do złamania hasła do serwisu i uzyskać dostęp do informacji o karcie kredytowej użytkowników.
Czy jest to przypadek, w którym muszę użyć Mysql (AES_ENCRYPT() i AES_DECRYPT())?
Czy nad tym myślę?
Czy istnieje lepszy sposób ochrony informacji na serwerze 1?
Aktualizacja Na podstawie wypowiedzi
zbudowałem mój system firmy ogrzewania i powietrza. Każdy, kto płaci online, może przechowywać swoje informacje o cc za pomocą skróconych książek, jeśli sobie tego życzą. Mam kilku większych klientów, których rozliczamy co miesiąc w biurze, i przetwarzamy cc za pośrednictwem terminalu stacjonarnego. Klienci ci mają profile klientów na naszych serwerach, do których mają dostęp. Są to klienci, którym chcę zezwolić na przechowywanie tam informacji o cc. W ten sposób nie muszę przechowywać informacji o cc przechowywanych na papierze w naszym biurze, aby ktokolwiek mógł je znaleźć.
Musisz przeczytać dokumentację PCI i postępować zgodnie z nią, jeśli rzeczywiście * przechowujesz informacje o karcie kredytowej *. – deceze
W rzeczywistości nie przetwarzam cc. Potrzebuję tylko przechowywać informacje w moim systemie firmowym, dla przyszłych płatności, które są dokonywane przez skrypty online –
Nie ma znaczenia, czy robisz przetwarzanie czy nie, zgodność z PCI polega na przechowywaniu szczegółów CC –