क्या किसी को ऐसी योजना के लिए व्यावहारिक अनुभव या संदर्भ मिला है जो PCI DSS सुरक्षा मानक का पालन करेगा जो एक महत्वपूर्ण प्रबंधन योजना लागू करता है?निजी कुंजी प्रबंधन को सही तरीके से कैसे करें
पीसीआई डीएसएस के अनुरूप कंपनियों की संख्या को देखते हुए स्पष्ट रूप से कुछ कार्यान्वयन हैं लेकिन उनके विवरण खोजने का प्रयास करना मुश्किल है। जब यह निजी डेटा संग्रहीत करने के लिए नीचे आता है तो चर्चा आम तौर पर एन्क्रिप्शन एल्गोरिदम का उपयोग करने के लिए बंद हो जाती है। इसके बाद आम तौर पर निजी कुंजी को उचित रूप से संग्रहीत करने के बारे में एक बयान है लेकिन इसे करने के व्यावहारिक तरीकों या समय-समय पर कुंजी बदलने या अनुप्रयोगों की कुंजी प्रदान करने जैसी चीजों के बारे में कोई चर्चा नहीं है।
विशिष्ट रूप से मुझे अनुभागों से आपकी आवश्यकताओं में रूचि है पीसीआई डीएसएस मानक के 3.5 और 3.6।
3.5.2 क्रिप्टोग्राफिक कुंजी सुरक्षित रूप से कम से कम संभव स्थानों और रूपों में स्टोर करें।
3.6.a कार्डधारक डेटा के एन्क्रिप्शन के लिए उपयोग की जाने वाली कुंजियों के लिए कुंजी-प्रबंधन प्रक्रियाओं के अस्तित्व की पुष्टि करें। नोट: प्रमुख प्रबंधन के लिए कई उद्योग मानक एनआईएसटी समेत विभिन्न संसाधनों से उपलब्ध हैं, जो http://csrc.nist.gov पर पाए जा सकते हैं।
3.6.4 सत्यापित करें कि कुंजी-प्रबंधन प्रक्रियाओं को कम से कम वार्षिक रूप से आवधिक कुंजी परिवर्तनों की आवश्यकता के लिए लागू किया गया है।
मैं PCI DSS आवश्यकताओं दस्तावेज़ के रूप में NIST Cryptographic publications पर एक नज़र लिया है हाल ही में नोट एक Cryptographic Key Management Workshop की वास्तविक कार्यान्वयन योजनाओं या मानकों के रास्ते में ज्यादा हो प्रतीत नहीं होता है बल्कि अलग पता चलता है। एक ही रास्ता के रूप में प्रमाणीकरण के लिए हैश
- स्टोर पासवर्ड + लवण,
- डेटा एन्क्रिप्शन के लिए एक मजबूत symmteric एल्गोरिथ्म चुनें,
- बचें ज़रूरत:
मैं क्या यह करने के लिए कोशिश कर रहा हूँ के रूप में नहीं है निजी डेटा को पहले स्थान पर स्टोर करने के लिए।
- अन्य तंत्र के साथ कुंजी प्रबंधन की आवश्यकता से बचें: भौतिक सुरक्षा, डेटाबेस सुरक्षा, ड्रेगन और जादूगरों आदि
जिनमें से सभी वैध चिंताएं हैं लेकिन इस मामले में जवाब नहीं कर रहे हैं। मेरी आवश्यकताओं के नट और बोल्ट एक अलग SO प्रश्न .Net Design pattern for storing and retrieving sensitive per user data में हैं, लेकिन यह सभी महत्वपूर्ण प्रबंधन के लिए उबलता है इसलिए यह अधिक परिष्कृत प्रश्न है।
जानना उत्सुक है कि आप क्या कर रहे हैं? मैं इस पर खोज कर रहा हूं लेकिन एनआईएसटी एसपी 800-22 के लिए वैध कुंजी या नमूना कोड नहीं मिला। मेरा वेबपैप PHP में है और यहां तक कि एक वाणिज्यिक कार्यान्वयन भी मदद करेगा। – 3zzy
मुझे कार्ड धारक डेटा स्टोर करने की आवश्यकता समाप्त नहीं हुई लेकिन अभी भी एप्लिकेशन एन्क्रिप्शन के स्तर की आवश्यकता है। विंडोज़ के लिए मैंने एक कॉन्फ़िगरेशन फ़ाइल में संग्रहीत एन्क्रिप्टेड एप्लिकेशन कुंजी के लिए मास्टर कुंजी के रूप में Windows प्रमाणपत्र स्टोर में संग्रहीत प्रमाणपत्र और आरएसए कुंजी का उपयोग किया है। कुछ लिनक्स MySQL डेटाबेस के लिए मैंने एक LUKS का उपयोग किया है जहां फ़ाइल सिस्टम को मैन्युअल रूप से दर्ज किए जाने के बाद फ़ाइल सिस्टम को घुमाया जा सकता है। – sipwiz