Questa configurazione è conforme allo standard PCI?

Naviga le tue risposte
8

Domanda: esiste un modo per archiviare le informazioni della carta di credito su un server di hosting condiviso? E essere conforme PCI?

Ecco la configurazione:

1) SSL è in fase di implementazione per l'intera procedura di checkout e per la sezione di amministrazione del sito del cliente.

2) Le informazioni della carta di credito vengono archiviate sul server (un piano di hosting condiviso) in un database MySQL. È crittografato.

3) Il client accede a un pannello di amministrazione protetto da password e stampa la carta di credito dal suo sito Web.

4) Il cliente esegue quindi manualmente le informazioni della carta di credito tramite un terminale e cancella le informazioni della carta di credito dal server.

    
posta user1750 20.08.2011 - 02:44
fonte

7 risposte

6

La conformità PCI è un po 'complicata. In primo luogo, con l'hosting condiviso, hai bisogno del fornitore che stai per soddisfare tutti i requisiti pertinenti. Vedi Qualcuno ha raggiunto la conformità PCI su AWS?

In secondo luogo, chiunque abbia un terminale che sta elaborando le carte è responsabile per il reclamo. Sembra che in questa circostanza tu non sia il processore e non abbia un accordo con una società di carte di credito. In questo senso, non è necessario essere conformi (ENORME avvertenza seguente)

Tuttavia , la persona con il terminale deve essere conforme e tutto ciò che usa nel processo di gestione delle carte (incluso te come terza parte) deve raggiungere la conformità. La conformità richiede una revisione attiva, la cui profondità dipende dal volume delle transazioni gestite.

Più in particolare, mi chiedo in che circostanza si tratterebbe di memorizzare i numeri delle carte di credito e di non elaborarli effettivamente.

La conformità PCI ha a che fare con il volume delle transazioni elaborate. I negozi con volumi più piccoli non devono preoccuparsi molto. Le società di grandi dimensioni sono conformi allo standard PCI solo se soddisfano tutti gli standard specificati e sono firmate da un consiglio PCI auditor approvato. VISA, ad esempio, specifica quelli che gestiscono 6 milioni di transazioni all'anno.

C'è una guida per i commercianti al link

    
risposta data 20.08.2011 - 05:15
fonte
4

Assolutamente positivo

La memorizzazione dei dettagli della carta è approvata solo per alcune configurazioni, molto più avanzate di questa.

Fare questo come descritto non sarebbe solo un reclamo da parte del PCI che sarebbe illegale in molti paesi in base a varie leggi sulla privacy e sul commercio (molte delle quali rimandano al PCI SSC per politiche e regolamenti).

Inoltre è quasi certamente una violazione del server della MSA per elaborare i pagamenti attraverso un terminale che sono stati ottenuti in questo modo. Tale violazione può essere regolata da un rimedio per azioni legali o legali.

    
risposta data 21.08.2011 - 06:29
fonte
2

Non è l'ideale, ea dire il vero sembra che tu stia violando OWASP a9 . Il processo di checkout non ha senso, il problema è di versare il tuo token di autenticazione ( THE COOKIE ) su testo normale.

    
risposta data 20.08.2011 - 20:58
fonte
2

Se stai prendendo le informazioni di CC e poi eseguendole attraverso un terminale vuol dire che stai memorizzando il CVC / CVV? Non è consentito memorizzarlo dopo l'autorizzazione per QUALSIASI motivo sotto PCI DSS.

    
risposta data 21.08.2011 - 04:56
fonte
1

Sarebbe complicato, ma in breve, questa configurazione non sarebbe stata conforme. Per iniziare, in base alle informazioni limitate fornite, si memorizzano i dati della carta in una zona di Internet, anziché in un sistema interno. Ci sono molte altre cose sbagliate con questa configurazione (interfacce di gestione, gestione delle chiavi per la crittografia, ecc.), Ma l'archiviazione dei dati è evidente.

Esistono anche requisiti aggiuntivi per i provider di hosting condiviso che dovrebbero essere convalidati. Sotto PCI, l'hosting condiviso non è appropriato per qualcosa di diverso da una pagina del commerciante che poi reindirizza a un gateway di pagamento conforme. Perché il tuo cliente non sta facendo questo?

    
risposta data 08.09.2011 - 00:20
fonte
1

Tutte le buone risposte. PCI dice che se si memorizzano i dati della carta di credito in qualsiasi forma è necessario almeno un ASV per eseguire la scansione del sistema per le vulnerabilità. Se arrivi a un livello 1 o 2 (in base al tuo livello di transazione) avrai bisogno di un QSA per farlo. La linea di fondo è se si stanno archiviando i dati della carta di credito in qualsiasi modo si corre un rischio per tutti. Puoi farlo ma i costi per convalidare i tuoi sistemi potrebbero essere proibitivi, a seconda del volume che stai facendo.

    
risposta data 09.03.2012 - 18:34
fonte
1

Purtroppo, come precedentemente affermato, la risposta è "No"

Per ottenere la piena conformità PCI è necessario soddisfare molti requisiti molto specifici. La lista completa può essere trovata qui:

link

Alcuni di questi requisiti riguardano il modo in cui gestisci i tuoi server, altri parlano della distribuzione interna dei ruoli e così via ...

Ad esempio, la sezione 9.1.1 afferma:

"Utilizzare videocamere e / o meccanismi di controllo dell'accesso per monitorare l'accesso fisico individuale alle aree sensibili. Rivedere i dati raccolti e correlarli con altre voci. Conservare per almeno tre mesi, se non diversamente limitato dalla legge. " [questo ovviamente parla di serve accesso]

Ho scelto di concentrarmi su questa sezione per dimostrare che la complicanza PCI non è un problema "puramente tecnico".

Detto questo, su un sito tecnico, probabilmente vorrai prendere nota della sezione 6.6 che richiede uno dei seguenti:

  • Revisione di applicazioni Web pubbliche tramite manuale o automatico strumenti o metodi di valutazione della vulnerabilità delle applicazioni, a almeno una volta all'anno e dopo ogni modifica.
  • Installazione di un firewall per applicazioni Web davanti a applicazioni Web pubbliche.

Questa è probabilmente la sezione più impegnativa dell'intero progetto poiché richiede di avere un WAF in posto o di eseguire controlli di routine dopo (e questo è importante) OGNI CAMBIAMENTO fatto per le tue applicazioni web.

In altre parole - puro incubo ...

Questa sezione è ciò che spinge molti proprietari di siti Web di piccole e medie imprese lontano dal PCI DDS e tra le braccia di un fornitore di servizi di fatturazione di terze parti, poiché i costi di installazione e manutenzione sono semplicemente troppo alti. (WAF costerà migliaia di dollari, anche prima dei costi di manutenzione, e i controlli di routine dopo ogni cambiamento non sono un'opzione, e anche se lo fosse - ha un costo cumulativo ancora maggiore)

Recentemente una soluzione economica a questo problema è stata resa disponibile tramite WAF conforme allo standard PCI basato su cloud.

L'idea qui è quella di "uso condiviso" e "economia di scala". In questo scenario, la protezione WAF viene distribuita tramite Cloud a una comunità di utenti (siti Web) e ogni comunità membro ottiene funzionalità e aggiornamenti WAF completi, ma deve pagare solo una frazione del prezzo intero.

Riduce notevolmente i costi iniziali di installazione / acquisto ed elimina anche tutti i costi aggiuntivi di manutenzione (poiché un team di sicurezza centrato opera e aggiorna il WAF per tutti gli utenti del cloud.)

Anche questo fornisce una standardizzazione completa e promette una qualità di manutenzione molto elevata (molto importante in un panorama di sicurezza in continua evoluzione ma non realizzabile senza una persona / squadra di sicurezza dedicata)

(disclaimer - Lavoro per la società che fornisce questa soluzione)

    
risposta data 17.07.2012 - 09:42
fonte

Leggi altre domande sui tag

Aumenta la sicurezza di un hash delle password già memorizzato Utilizzo di MD5 per gli ID malware: rischi di collisione?