处理敏感信息的最佳做法是什么？

我目前正在为客户创建一个应用程序，以便他们能够自动为客户的信用卡收费。

我很好奇安全地存储和访问信用卡信息的最佳实践 ，以及关于此问题的任何其他敏感信息，如社会安全号码，帐号等。

我假设某种类型的加密技术将被采用，但在我深入挖掘之前，我想知道其他人如何处理这些类型的需求。

这并不重要，但我们正在使用Microsoft SQL Server为数据库设计软件，并使用C＃和ASP.NET。

---

阅读PCI要求。 一切都会在那里。

其实，你必须遵循它们。

---

1 - 甚至不收集SSN，除非你确实需要它们。 除非你是银行或政府，否则你是不可能的。

2 - 除非确实需要，否则不要收集其他敏感信息

3 - 使用任何适合的控件（数据库的独立机器，防火墙，访问控制等），以确保您真的需要保留的内容。

---

使用积极的标准来确保主机系统在操作系统和物理安全性方面的安全性，例如NSA指南。

将数据库放在与Web服务器或其他功能不同的系统上，以防止物理访问和权限升级攻击。

程序防御，以避免SQL注入攻击和类似的漏洞。

开发时，首先要考虑安全性。 事后回顾并应用安全性将很困难且容易出错。

尝试分离应用程序的各个部分...即不要使用相同的查看器或控制器进行“公共”访问和“私人”访问。

请注意并遵守当地有关处理这些数据的法律......其中有很多。

在出现违规情况时，请提供周围的信封以通知您的客户。 如果您失去了2600万客户的信息，您可能无法获得足够的信封来满足通知其违约的法定时间表。

链接地址: http://www.djcxy.com/p/26417.html

上一篇: What are some best practices for handling sensitive information?

下一篇: Multiple submit buttons in an HTML form