PCI DSS不合规 在Apache的解决办法

建站 4周前 ( 06-11 09:31 ) 0条评论

PCI DSS是什么?

  全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业PCI DSS)数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,立在使国际上采用一致的数据安全措施,简称PCI DSS。

  PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。

以上信息出处:百度百科

HTTPS安全检测出PCI DSS不合格

在又拍云使用HTTPS安全检测(https://www.upyun.com/https),发现“PCI DSS”不合格。

PCI DSS不合规 在Apache的解决办法 第1张

解决办法

打开站点的设置,找到配置文件,搜索SSLProtocol,找到如下图。

PCI DSS不合规 在Apache的解决办法 第2张

在此行后面添加 -TLSv1,禁用TLS1.0,再点“保存”。

PCI DSS不合规 在Apache的解决办法 第3张

在又拍云的[HTTPS安全检测]再次刷新报告,PCI DSS已合格。

PCI DSS不合规 在Apache的解决办法 第4张

为什么要禁用TLS1.0?

  MySSL发表的博文中,在2018年6月30日,禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

博文网址:https://blog.myssl.com/pci-dss/


打赏

觉得文章有用就打赏一下博主

支付宝[扫一扫]打赏

支付宝[扫一扫]打赏

微信[扫一扫]打赏

微信[扫一扫]打赏
分享