支付系统安全
Page content
PCI DSS
PCI DSS的六大要求和12项操作细则如下。
要求一:建立和维护安全的网络
- 1)安装并维护防火墙配置以保护持卡人数据。
- 2)系统口令和其他安全参数不使用厂商默认设置。
要求二:保护持卡人数据
- 3)保护存储的持卡人数据。
- 4)对公共网络上传输的持卡人数据进行加密。
要求三:维护漏洞管理程序
- 5)使用并定期更新防病毒软件。
- 6)开发和维护安全的系统和应用。
要求四:实施访问控制措施
- 7)限制对持卡人数据的访问:限制到必需的业务访问。
- 8)为计算机访问用户分配唯一的账号。
- 9)限制对持卡人数据的物理访问。
要求五:定期监控和测试网络
- 10)跟踪并监控对网络资源和持卡人数据的所有访问。
- 11)定期测试安全系统和流程。
要求六:维护信息安全策略
- 12)维护信息安全策略,以解决内外部的安全问题。
后端技术方案
HTTPS
- App/FE 访问API走HTTPS
Nginx反向代理
- 外部访问API,加IP白名单
Nginx正向代理
- 不直接从容器里访问外网,走正向代理
- 访问外部,能走专线走专线
数据库
- 对外展示的订单号加密处理
- 用户数据加密存储
- 用户银行卡数据加密存储
Log
- 日志中,用户隐私信息脱敏
对账文件
- SFTP:加密传输