支付系统安全

系统设计
468 words
Page content

PCI DSS

PCI DSS的六大要求和12项操作细则如下。

要求一:建立和维护安全的网络

  • 1)安装并维护防火墙配置以保护持卡人数据。
  • 2)系统口令和其他安全参数不使用厂商默认设置。

要求二:保护持卡人数据

  • 3)保护存储的持卡人数据。
  • 4)对公共网络上传输的持卡人数据进行加密。

要求三:维护漏洞管理程序

  • 5)使用并定期更新防病毒软件。
  • 6)开发和维护安全的系统和应用。

要求四:实施访问控制措施

  • 7)限制对持卡人数据的访问:限制到必需的业务访问。
  • 8)为计算机访问用户分配唯一的账号。
  • 9)限制对持卡人数据的物理访问。

要求五:定期监控和测试网络

  • 10)跟踪并监控对网络资源和持卡人数据的所有访问。
  • 11)定期测试安全系统和流程。

要求六:维护信息安全策略

  • 12)维护信息安全策略,以解决内外部的安全问题。

后端技术方案

HTTPS

  • App/FE 访问API走HTTPS

Nginx反向代理

  • 外部访问API,加IP白名单

Nginx正向代理

  • 不直接从容器里访问外网,走正向代理
  • 访问外部,能走专线走专线

数据库

  • 对外展示的订单号加密处理
  • 用户数据加密存储
  • 用户银行卡数据加密存储

Log

  • 日志中,用户隐私信息脱敏

对账文件

  • SFTP:加密传输