我们目前正在将现有的 Web 服务设置为符合 PCI-DSS 标准,但对其中一项合规性要求有点困惑。
简而言之,我们需要确保信用卡号绝不会以纯文本形式存储在任何地方。我们的 CC 提交表单全部使用 SSL,我们将信息存储在加密字段中,除 IIS 日志外,所有内容均符合要求。
我们的审计团队注意到,如果您在我们为网站的其他功能提供的搜索框中输入任何内容,查询词就会记录到 IIS 日志中。如果用户在此搜索框中输入他们的信用卡号,该号码就会以纯文本形式记录到 IIS 中。
有其他人处理过这个问题吗?我在网上找不到解决方案,尤其是考虑到 PCI DSS 中的另一个要求,即我们尽可能记录所有信息以提供尽可能完整的审计跟踪。
谢谢
答案1
如果您控制 IIS 日志的条目(我的意思是从您的搜索框到 IIS 日志设施的精确调用),您应该事先扫描它以查找可能属于 PCI-DSS 的任何内容并将其屏蔽。