В настоящее время мы настраиваем нашу существующую веб-службу в соответствии с PCI-DSS, и мы немного озадачены одним из требований соответствия.
Короче говоря, нам нужно убедиться, что номер кредитной карты никогда не хранится в виде обычного текста. Все наши формы отправки CC работают по SSL, мы храним информацию в зашифрованном поле, все соответствует требованиям, кроме журналов IIS.
Наша группа аудита отметила, что если вы вводите что-либо в поле поиска, которое мы предоставляем для других функций на сайте, термин запроса регистрируется в журналах IIS. Если пользователь вводит номер своей кредитной карты в это поле поиска, этот номер регистрируется в IIS в виде обычного текста.
Кто-нибудь еще занимался этой проблемой? Я не искал решения в Интернете, особенно с учетом другого требования PCI DSS, согласно которому мы регистрируем абсолютно все, что возможно, чтобы обеспечить как можно более полный контрольный журнал.
Спасибо
Если вы управляете записью в журналы IIS (я имею в виду точный вызов из вашего окна поиска в средство журнала IIS), вы должны сначала просканировать его, чтобы найти все, что может быть под PCI-DSS, и замаскировать его.