Se você controlar a entrada para os logs do IIS (quero dizer, a chamada exata da sua caixa de pesquisa para o recurso de log do IIS), você deve verificar antes para qualquer coisa que possa estar sob o PCI-DSS e mascará-la.
No momento, estamos configurando nosso serviço da web existente para ser compatível com PCI-DSS e estamos um pouco confusos com um dos requisitos de conformidade.
Em resumo, precisamos garantir que um número de cartão de crédito nunca seja armazenado em lugar algum em texto simples. Nossos formulários de submissão CC todo o trabalho em SSL, armazenamos as informações em um campo criptografado, tudo é compatível, exceto: logs do IIS.
Nossa equipe de auditoria observou que, se você digitar algo na caixa de pesquisa que fornecemos para outros recursos no site, o termo da consulta será registrado nos logs do IIS. Se um usuário colocar seu número de cartão de crédito nessa caixa de pesquisa, esse número será registrado no IIS em texto simples.
Alguém mais já lidou com este problema? Eu não tive nenhum olhar para encontrar uma solução on-line, especialmente tendo em conta o outro requisito no PCI DSS que registramos absolutamente todo o possível para fornecer uma trilha de auditoria o mais completa possível.
Obrigado
Se você controlar a entrada para os logs do IIS (quero dizer, a chamada exata da sua caixa de pesquisa para o recurso de log do IIS), você deve verificar antes para qualquer coisa que possa estar sob o PCI-DSS e mascará-la.