Nuovi standard di sicurezza delle carte di credito in merito alla conformità PA-DSS

13

I nuovi standard delle carte di credito, compreso PA-DSS, possono essere abbastanza confusi per le aziende di software.

La mia domanda è questa: se la tua azienda di software progetta un sistema software POS (come facciamo noi) che utilizza un processore di terze parti installato su scheda di terze parti (compatibile con PA-DSS) per crittografare, trasmettere ed elaborare le carte di credito, il nostro sistema POS deve quindi passare la certificazione PA-DSS?

Gli utenti finali inseriscono i dati nella nostra interfaccia utente / pagamento personalizzata nella nostra applicazione. Non archiviamo mai queste informazioni in qualsiasi momento in un database, file di testo ecc. Di alcun tipo. Le informazioni sono prese dall'interfaccia utente e caricate in variabili nella RAM e quindi passate al sistema software di terze parti tramite l'API installata localmente. Il processore di terze parti quindi crittografa, invia ed elabora le informazioni della carta di credito e sono conformi PA-DSS.

Quindi, dobbiamo essere poiché non stiamo memorizzando, trasmettendo o elaborando i dati della carta di credito. Stiamo trasmettendo le informazioni della carta di credito solo dalla RAM a una chiamata API.

Informazioni aggiuntive di seguito aggiunte alla domanda - 2011

Mi è stato detto che non è possibile che un sistema software sia conforme. Mi è stato detto che la conformità PCI DSS include l'ambiente commerciale totale compresa l'infrastruttura di rete, la scansione antivirus, i limiti di accesso a Internet dei server che contengono i dati dei titolari di carta e altro ancora. Sono a conoscenza del fatto che un sistema software, come parte della certificazione o aderendo agli standard, può essere solo pa dss compliant . Almeno, questa è la mia attuale comprensione personale comunque.

Il problema con i requisiti di pa dss per gli sviluppatori di software e le società di software è che non esiste una definizione appropriata della parola "trasmessa".

Gli standard dicono:

"PCI DSS si applica ovunque i dati dell'account vengono memorizzati, elaborati o trasmessi"

Bene, sulla base di ciò, non stiamo memorizzando alcuna informazione sul titolare della carta, non stiamo elaborando alcuna informazione sul titolare della carta e non stiamo trasmettendo alcuna informazione attraverso una rete o Internet.

Il problema è che "Trasmesso" può essere interpretato letteralmente come qualcosa e deve essere definito in modo appropriato. Spostare i dati da un byte all'altro potrebbe essere trasmesso, spostandolo da un dominio di applicazione a un altro, spostando i dati attraverso una rete locale o spostandosi attraverso Internet stesso.

Leggendo gli standard, ho l'impressione che le persone che hanno redatto questi standard per la conformità di paSS non abbiano molta familiarità con il software e che il loro vero intento fosse quello di avere il termine "trasmesso" per spostare i dati attraverso una rete o Internet, che ovviamente non stiamo facendo.

Non credo che intendessero "trasmessi" per significare, non spostare i dati da un indirizzo di memoria a un altro o non passare dati a una libreria di dll compatibile con pa-dss.

Spero che non archiviamo, elaboriamo o trasmettiamo dati su un netowrk o su Internet che non ci si aspetterebbe di passare una certificazione di $ 20.000 solo per poter chiamare una libreria di librerie dll PA DSS sicura per elaborare le nostre carte .

    
posta Matt 25.05.2011 - 21:46
fonte

3 risposte

10

So, do we need to be since we are not storing, transmitting or processing the credit card data. We are transmitting the credit card information only from RAM to an API call.

La tua seconda affermazione è in contraddizione con la prima e, soprattutto, contiene la risposta alla tua domanda.

PCI DSS v2 afferma quanto segue,

PCI DSS applies wherever account data is stored, processed or transmitted. Account Data consists of Cardholder Data plus Sensitive Authentication Data, as follows:

  • Cardholder Data includes:
    • Primary Account Number (PAN)
    • Cardholder Name
    • Expiration Date
    • Service Code
  • Sensitive Authentication Data includes:
    • Full magnetic stripe data or equivalent on a chip
    • CAV2/CVC2/CVV2/CID
    • PINs/PIN blocks

e suppongo che la trasmissione del numero di carta di credito (che costituisce la gestione dei dati del titolare della carta) all'applicazione di terzi renda anche il software POS conforme. La domanda è se il tuo software deve essere compatibile con PCI DSS o PA-DSS, e questo è affrontato nella sezione " Relazione tra PCI DSS e PA DSS ":

note the following regarding PA-DSS applicability:

  • PA-DSS does apply to payment applications that are typically sold and installed “off the shelf” without much customization by software vendors.
  • PA-DSS does not apply to payment applications developed by merchants and service providers if used only in-house (not sold, distributed, or licensed to a third party), since this in-house developed payment application would be covered as part of the merchant’s or service provider’s normal PCI DSS compliance.
    
risposta data 26.05.2011 - 07:35
fonte
9

Dici che la tua applicazione prende i dati della carta di credito per passare a un'altra applicazione?

Questo significa che lo stai gestendo - classificherei quello che stai facendo trasmettendo i dati CC in base alla guida PA (parti rilevanti in grassetto):

L'ambito della revisione PA-DSS dovrebbe includere quanto segue:

  • Copertura di tutte le funzionalità dell'applicazione di pagamento, incluso ma non limitato a

    1) funzioni di pagamento end-to-end (autorizzazione e regolamento)

    2) input e output

    3) condizioni di errore

    4) interfacce e connessioni ad altri file, sistemi e / o applicazioni di pagamento o componenti dell'applicazione

    5) tutti i flussi di dati dei titolari di carta

    6) meccanismi di crittografia

    7) meccanismi di autenticazione

  • Copertura della guida che il fornitore di applicazioni di pagamento fornirà a clienti e rivenditori / integratori (vedere Guida all'implementazione di PA-DSS più avanti in questo documento) per garantire

    1) Il cliente sa come implementare l'applicazione di pagamento in un PCI DSS- modo conforme e

    2) al cliente viene chiaramente detto che alcune applicazioni di pagamento e le impostazioni ambientali possono proibire il loro PCI DSS conformità.

    Si noti che è probabile che il fornitore dell'applicazione di pagamento fornisca tale guida anche quando l'impostazione specifica

    1) non può essere controllato dal fornitore dell'applicazione di pagamento dopo che l'applicazione è stata installata dal cliente o

    2) è responsabilità del cliente, non del venditore dell'applicazione di pagamento.

  • Copertura di tutte le piattaforme selezionate per la versione dell'applicazione di pagamento revisionata (le piattaforme incluse devono essere specificate).

  • Copertura degli strumenti utilizzati da o all'interno dell'applicazione di pagamento per accedere e / o visualizzare i dati di titolari di carta (strumenti di reporting, strumenti di registrazione, ecc.)

(dati da link )

    
risposta data 26.05.2011 - 00:59
fonte
3

se la tua applicazione tocca i dati di pagamento, è nel campo di applicazione di PA-DSS. Alcune soluzioni POS si aprono in una finestra separata per i pagamenti che rientrano nell'app di terze parti. La terza parte e l'hardware collegato toccano il pagamento e inviano il codice di risposta all'applicazione commerciante in modo da poter completare la vendita. Questo fa uscire PA DSS dall'ambito. PCI DSS è sempre in uso in qualche modo, ma l'onere può essere ridotto con le app di pagamento di terze parti. Gli standard sono in continua evoluzione.

    
risposta data 08.05.2013 - 18:30
fonte

Leggi altre domande sui tag