我是一名 Web 开发人员,对系统管理和安全性了解不多。我是否可以在使用托管主机或外包安全和管理的同时,建立一个处理信用卡付款、支出、比特币付款或其他私人活动的网站,而不会牺牲安全性?
当然,我可以使用 Stripe 等 API 来处理付款,但这并不意味着有权访问我的服务器的人不会使用秘密 API 密钥向客户收费并进行其他此类不当行为。
总之,没有安全/系统管理员的小型初创公司如何处理安全/管理问题,而不危及用户?
答案1
这不是一个技术问题,答案也不是技术性的。
我将服务器托管在一个数据中心,该数据中心定期接受 PCI-DSS 和 SAS-70 Type II 合规性审核。我与他们签订的协议规定,他们将对我的数据保密(与他们的数据一样)。
您需要与有业务往来的数据中心或托管服务提供商达成一项法律协议,保证他们不会从您的服务器上窃取您的客户数据,并且您需要提供他们的 PCI 合规性审计的副本,以便在您自己的审计员出现时提供给他们。
答案2
一切都取决于您的协议、他们将通过的认证和审核、他们的政策、专家、建议、服务器软件维护、环境等。安全是一件大事——您需要人力来检查提供商。
附言
PCI-DSS 与此无关!他们永远不会检查您的服务器,这超出了他们的职责范围
根据 VISA/MC/AMEX 的要求,信用卡数据(所谓的敏感信息)在达到大量交易(数百上千)之前不允许通过网站处理,因此信用卡号不会发送到您的服务器,客户会被重定向到处理中心的付款网站,然后您会收到付款确认,仅此而已(如果您正在运行这样的网站 - 您已经知道这一点)。因此,在您达到该数字之前,PCI-DSS 不会对您产生影响。我受雇于一家处理中心,负责网站的安全支付(3-D 安全等),成功通过了 PCI-DSS。PCI 只关心敏感数据,而不关心其他任何事情。
当你的网站达到这个数字时,我相信你会拥有自己的 DC 和安全团队与管理员 :)