ඔබ කවදා හෝ කාඩ් ගෙවීම් ක්රියාත්මක කිරීමට යෙදුමක් ලිවීමට අවශ්ය නම්, PayPal ඇතුළත් කිරීමක් නොවේ, නමුත් PayPal ලෙස.
Payment Card Industry Data Security Standard (PCI DSS) යනු ප් රධාන කාඩ් පද්ධති වලින් වෙළඳ නාමය සහිත ක්රෙඩිට් කාඩ් පාවිච්චි කරන සංවිධාන සඳහා තොරතුරු ආරක්ෂාව ප්රමිතියකි.
Payment Card Industry Data Security Standard (PCI DSS)ප්රධාන කාඩ් පද්ධති වලින් වෙළඳ නාමය ක්රෙඩිට් කාඩ් පාවිච්චි කරන සංවිධාන සඳහා තොරතුරු ආරක්ෂාව ප්රමිතිය වේ.විකිපීඩියා
වෙනත් වචන වලින් කිවහොත්, එය විශාල පරීක්ෂණ ලැයිස්තුවක් වන අතර එය පවසයි: "ඔව්, ඔබ මිනිසුන්ගේ මුදල් ගබඩා කිරීමට හෝ පරිශීලක කිරීමට යන්නේ නම්, සමහර විට ඔබේ දත්ත පදනම ලෝකයට විවෘත නොකරන්න."
Why Am I Even Writing This?
ඇයි මමත් මේක ලියන්නේ?PCI DSS අනුකූල යෙදුමක වැඩ කිරීමෙන් පසු, මා සදාකාලික අවුලකට පත් වූ අතර, “ඇයි සියලුම යෙදුම් PCI DSS ආරක්ෂිත කේතය අනුගමනය නොකළ යුත්තේ?”
මට විශ්වාස කරන්න, PCI DSS එය පෙනෙන පරිදි භයානක නොවේ. අනුකූලතාව සහ පෞද්ගලිකත්වය මිනිසුන් සෑම සරල ක්රියාවලියකදීම ඔවුන් ගැන හොඳින් හැඟීමට විශාල ශබ්දයක් ඇති කිරීමට ක්රමයක් ඇත. උද්ඝෝෂිත දවසක් අවශ්යද? PIA, DPIA, DSAR හෝ ROPA ගැන කතා කිරීමට ඔවුන්ට ඇහුම්කන් දෙන්න.
දේවල් අතිශයින් සරල කිරීම සඳහා නොවේ, අනුකූලතාව වේදනාකාරී විය හැක.ඒත් එය ඔබේ දත්ත ආරක්ෂා කිරීම සඳහා උපකාරී වන අතර ඔබට "I Have Been Pwned" මත අවසන් නොකරයි.
කේතය ආරක්ෂා කිරීම සඳහා උපදෙස්
ඔබ ගෙවීම් පද්ධතිය ගොඩනැගීම හෝ රෑට වඩා හොඳින් නිදා ගැනීමට උත්සාහ කරන්නේ නම්, ඔබ PCI DSS අනුකූලතාවයට ළඟා වනු ඇති coding ආරක්ෂා කිරීම සඳහා පහසු ක්රම කිහිපයක් මෙන්න.
Subnets, NAT Gateways, and the Drama of Networking
ඔබගේ යෙදුම දත්ත පදනම ප්රකාශික සඟරාවේ නම්, මම ඔබට කියවීම නවත්වන්න සහ එය නිවැරදි කිරීමට අවශ්ය වනු ඇත.
ඔබ සංවේදී ඕනෑම දෙයක් සඳහා පෞද්ගලික අමුද්රව්ය භාවිතා කරන බව සහතික කරන්න, එවිට NAT Gateway හරහා ඔවුන්ගේ ප්රවේශය මාර්ගගත කරන්න, ඔවුන් අන්තර්ජාලයට ප්රවේශ විය හැක (ප්ලස්, යාවත්කාලීන කිරීම, memes, ආදිය) සෘජුවම අවකාශයට පත් නොවී.
"මැට්රික්ස්" ආදරය කරන අයට, මැට්රික්ස් ලෝකය පෞද්ගලික අර්ධ ජාලයක්, සැබෑ ලෝකය පොදු අර්ධ ජාලය වන අතර, Neo සහ ඔහුගේ මිතුරන් ලෝකයන් අතර ගමන් කිරීමට භාවිතා කරන ආරක්ෂිත දුරකථනය NAT Gateway වේ.
මමත් ආසයි ඒ කතාවට.එහෙනම් ඔයාලත් කැමති වෙයි.එහෙනම් ටික කාලයක් ගියා.
Encrypt All the Things
ඔයා මේක කලින් අහලා තියෙනවා.ඔයාට ආයෙම අහන්න පුළුවන්.
- විවේකයේ දී සංකේතය
- ගමනාගමනය තුළ සංකීර්ණ
- ලැයිස්තුව, backups, හා පවා පරිසර වෙනස්කම් සංකීර්ණ කර ගන්න, ඔබ උණුසුම දැනෙනවා නම්.
Cloud සේවාවන් සඳහා, සංකේතය කළමනාකරණය කිරීම පහසු වේ.ඔබට අවශ්ය වන්නේ ඒවා ක්රියාත්මක කිරීම පමණි.
සහ කරුණාකර, Base64 සංකේතය නොවේ. එය තමන්ට බොරු කරන අය සඳහා වේ. ඔබ කවුද දන්නවා. සැබවින්ම, එය එහි භාවිතයන් ඇත, නමුත් ආරක්ෂාව ඔවුන්ගෙන් එකක් නොවේ.
Security Headers
ආරක්ෂක මාතෘකාව යනු HTTP ප්රතිචාර මාතෘකාවක් වන අතර එය වෙබ් අඩවියේ ආරක්ෂක සම්බන්ධ අමුද් රව් ය ක්රියාත්මක කිරීම සඳහා පරිශීලකයාට උපදෙස් දෙයි.එයින් ඔබට Cross-Site Scripting (XSS), Clickjacking, and man-in-the-middle attacks වැනි ප්රතික්ෂේපවලට ප්රතික්ෂේප කිරීම සඳහා උපකාරී වේ.
අඩුම තරමින්, එකතු කරන්න:
- ශක්තිමත් ප් රවාහන ආරක්ෂාව
- X-Content-Type විකල්ප
- Content-Security ප්රතිපත්තිය
- X-Frame විකල්ප
ඔවුන් බොහෝ frameworks සහ Cloud සේවා තුළ සැකසීම පහසු වේ.එක වරක් කරන්න, ඔබ දැනටමත් වඩා හොඳ වේ.
Firewalls? Definitely Firewalls
ඔබගේ යෙදුම වෙත ප්රවේශ ප්රවේශ ප්රවේශ ප්රවේශ ප්රවේශ ප්රවේශ ප්රවේශ ප්රවේශ ප්රවේශ.It is like putting a bouncer in front of your app.
බූමර්ගේ දවස් වලට වෙනස්ව, ගිණුම් බිත්තිය ස්ථාපනය කිරීම Asgard හි උපදෙස් සහිතව ඔබගේ උපාංගය සකස් කිරීම මෙන් වේ.ඔබ එය ක්රියාත්මක කර ගත හැක, නමුත් කොපමණ මිලකටද?
AWS WAF සහ Azure Firewall වැනි වලාකුළු සේවා දැනටමත් පොදු තර්ජනයන් සඳහා පෙර සැකසුම් කරන ලද නීති සහිතව සකස් කර ඇත; ඔබ ඒවා විවෘත කළ යුතුය, ඔවුන් වැඩ කරයි.
අවම ප්රවේශයක් සහිතව Firewalls ඔබට දන්නා ප් රහාරක ආකෘති නවත්වන්න, නරක IPs ෆිල්ටර් කරන්න සහ 2008 සිට තවමත් SQL ඉංජිනේරු කිරීමට උත්සාහ කරන කෙනෙකු වළක්වා ගැනීමට උපකාරී වනු ඇත.
Access Control
ඔබගේ යෙදුම පොදු පුස්තකාලයක් නොවේ. සෑම සේවාවකටම සියල්ලට සම්පූර්ණ ප්රවේශයක් ලබා නොදෙන්න, එය පහසු නිසා. ඔබ ඔප්රා වින්ෆ්රයි නොවේ: "ඔබ admin ලබා ගන්නවා!
අඩුම අයිතිවාසිකම් ප්රතිපත්තිය (Principle of least privilege) යනුවෙන් අදහස් කරන්නේ, සෑම පරිශීලකයාටම අවශ් ය දේ පමණක් ලැබෙන බවයි.
ක්රියාකාරකම් සහ යතුරු සකස් කිරීමට උත්සාහ කරන්න, හැකි අවස්ථාවලදී ස්ටීක් යතුරු මත රූල් භාවිතා කරන්න.එහෙත් වලාකුළු සේවා මෙය ප් රිය කරනවා.
Staging Is Not Production
ඔබේ ස්ථාවර පරිසරය ව්යුහය තුළ නිෂ්පාදනය ප්රදර්ශනය කළ යුතුය, රහසක් නොවේ.
- ප් රහාරකයින්ට දත්ත ලබා ගන්නේ කොහෙන්ද කියන එක ගැන සැලකිල්ලක් නැහැ.
- නිෂ්පාදන රහස වේදිකාවට පත් කරන්න එපා.
- මෙතැනදීත් WAF නීතිය සහ පර්යේෂණ ක් රමය ක් රියාත්මක කරන්න.
Hackers love a staging environment with fewer alarms.What is a better place to test their scripts?අපේ script පරීක්ෂා කිරීමට වඩා හොඳ තැනක් කුමක්ද?
Change Management
PCI DSS ඔබට කේතය, ව්යුහය සහ ආරක්ෂක ප්රතිපත්තියේ වෙනස්වීම් නිරීක්ෂණය කිරීමට ක්රියාකාරකම් අවශ්ය වේ.
සරල වශයෙන්, Git භාවිතා කරන්න, Infrastructure-as-code (Serverless Framework, Terraform, AWS CDK, ආදිය) භාවිතා කරන්න, අනතුරු ඇඟවීමක් ස්ථාපනය කරන්න.
Logging Saves Lives
ලැයිස්තුව ඉතා වැදගත් වේ.ඔබ කිසිවිටෙකත් ඔවුන්ට අවශ්ය නොවනු ඇතැයි ඔබ බලාපොරොත්තු වෙනවා, නමුත් ඔබ එය කළහොත්, ඔබ එය සැබවින්ම අවශ්ය වේ.ඔබ වැදගත් සියල්ල සඳහා ආරක්ෂිත හා මධ්යම ලැයිස්තුවක් තබා ගන්න:
- යෙදුම් ලැයිස්තුව: යෙදුම් වල වැරදි සහ අනෙකුත් වැදගත් තොරතුරු ලියාපදිංචි කිරීම ඔබට උදව් කිරීම සඳහා.
- Access logs: කවුද කරන්නේ මොනවද සහ කවදා.
- Database logs: slow queries, weird access patterns, and potential breaches (විශේෂයෙන් දත්ත සබැඳි)
- විභාග වාර්තා: බලපත්ර වෙනස්වීම්, ගිණුම් බිත්ති නීති සහ කේත ස්ථාපනය ලියාපදිංචි කිරීම.AWS CloudTrail, GuardDuty සහ Config වැනි මෙවලම් ඔබට උදව් කළ හැකිය.
Prefer ORMs
මෙම ඔබේ ප්රතිරෝධය පළමු රේඛාව වේ (ඔබගේ සෞඛ්යයය). ඔබ මියයන බලාපොරොත්තුවක් සහිත දත්ත පදනම වෘත්තියෙකු නොවේ නම් Raw SQL අමතක කරන්න. ORM භාවිතා කරන්න. ඔව්, ඔබ ඔබේ Raw SQL උපාංගය සහ ආරක්ෂාව වැඩි දියුණු කළ හැකිය; කෙසේ වෙතත්, අනාගතයේදී ඔබ හෝ ඔබේ සහකරු ප්රශ්නය නිවැරදිව උපාංගය කිරීමට අමතක වනු ඇත, හා ඒ වගේ, ඔබ උයන්න ඇත.
ORMs ඔබගේ දත්ත සන්නිවේදන ඇස්තමේන්තු කර, කේතය රැකබලා ගැනීම පහසු වන අතර ඉස්මතු ආක් රමණයට අඩු ප්රතික්ෂේප.මගේම වර්තමානයේ ORMs ප්රශ්න පෙට්ටිය පිටතට ප්රමාණවත් කරයි.DROP TABLE users;රාත් රී කාලයේදී රැකියාවක්
In Conclusion
අවසාන වශයෙන්දැන්, බරපතලව, එය එතරම් ගැඹුරු විය හැකිද? එය දිගු ලැයිස්තුවක්, නමුත් මම විශ්වාස කරනවා ඔබ දැනටමත් කරන දේවල් වලින් පිරී ඇත.
අනුකූලත්වය කරදරකාරී වේ, නමුත් එය දත්ත දූෂණය වේ. PCI DSS "නෑ, ඔබට බැහැ" යන විශාල ලැයිස්තුවක් වගේ දැනෙනවා, නමුත් එය ඔබ සහ ඔබේ පාරිභෝගිකයන් ආරක්ෂිතව තබා ගැනීමට උත්සාහ කරයි. AWS, Azure සහ GCP වැනි වලාකුළු පද්ධති මත, මෙම හොඳම ක්රියාකාරකම් අනුගමනය නොකිරීමට කිසිදු හේතුවක් නැත.
ආරක්ෂිතව සිටීම. අනුකූලව සිටීම. සහ යහපත් සියල්ලට ආදරය කිරීම සඳහා, සංකීර්ණ නොවන කාඩ් අංකය රඳවා ගන්නේ නැත.card_number.
