무단 행위자에게 노출된 개인 식별 정보(PII)(신용 카드)
설명
대상 응용 프로그램에서 신용 카드 정보를 응답으로 반환하는 것이 발견되었습니다. 이러한 정보를 반환하는 조직은 산업 규정을 위반할 수 있으며, 과태료를 부과받을 수 있습니다.
수정 방법
신용 카드와 같은 PII는 사용자에게 직접 반환되어서는 안 됩니다. 정보의 대부분은 마스킹되어야 하며, 식별자의 마지막 몇 자리 또는 문자를 제외해야 합니다. 예를 들어, 신용 카드 번호는 마지막 네 자리만 반환해야 합니다: ****-****-****-1234
. 이 마스킹은 서버에서 수행되며, 그 후에 마스킹된 데이터를 클라이언트에게 송신해야 합니다. 이러한 값을 마스킹하기 위해 클라이언트 측 JavaScript 또는 기타 방법을 신뢰해서는 안 되며, 데이터가 가로채거나 복원될 수 있습니다.
추가적으로, 신용 카드 정보는 파일이나 데이터베이스에 암호화되지 않은 상태로 저장되어서는 안 됩니다.
세부 정보
ID | 집계 상태 | CWE | 유형 | 위험 |
---|---|---|---|---|
359.1 | true | 359 | Passive | Medium |