Questo è un classico problema di scoping con gli standard di conformità. Tenere il commerciante pienamente responsabile, ma negare completamente tutti i loro sforzi se il cliente del commerciante non ha protetto i loro browser.
Tuttavia, ciò che rimane discutibile per l'ambito è se il commerciante ha rappresentanti CSR o dipendenti / appaltatori / consulenti di qualsiasi tipo (back-office, tramite business intelligence, CRM, contabilità, funzionari o altro) utilizzando un browser o altro app per accedere ai dati della carta di pagamento.
Ho sentito che esiste un'esclusione per gli eletti dei commercianti che accedono ai dati dei titolari di carta nello stesso modo in cui lo farebbe un cliente - tuttavia questo dipende dal QSA (il valutatore PCI DSS) per decidere: cioè è il loro discrezione.
Per dimostrare che le informazioni di cui sopra sono accurate, permettimi di citare il lavoro di Scoping PCI di Gene Kim , che in una serie di diapositive - discute usando l'IIT (responsabile di COSO) GAIT-R per l'identificazione dei "principi" di conformità rispetto all'identificazione dei "controlli" (di cui il PCI DSS è pesante). Questo è classicamente descritto come "Lo spirito della legge" contro "La lettera della legge" nella giustizia criminale / civile e atti di riforma legale dalla storia dell'umanità.
Nelle diapositive 35 e 37 di 2010 07 BSidesLV Mobilitando la PCI Resistenza 1c , è chiaro che:
- I dispositivi di categoria 3 sono al di fuori dell'ambito PCI DSS, mentre i dispositivi di categoria 2 e 1 sono in ambito PCI DSS
- I dispositivi che trasmettono CHD, non sono in grado di decrittografare il CHD e non sono collegati tramite il segmento di rete fisico / virtuale locale a un dispositivo di categoria 1 POSSONO ESSERE CONSIDERATI come categoria 2A, 2B, 2C o anche una categoria 3 dispositivo
- Secondo l'ambito, il cliente (o coloro che trasmettono il CHD esattamente come un cliente) è considerato un dispositivo di Categoria 3 (e quindi fuori dallo scopo PCI DSS). Il trucco qui è quello di assicurarsi che il rappresentante CSR (o altro impiegato mercantile / appaltatore / consulente) non stia violando nessun altro flusso di lavoro di scoping come dettato nella diapositiva 37, come la cache di CHD tramite il browser (o proxy, application-layer- gateway, ecc.) o il salvataggio del CHD nella funzionalità di completamento automatico del modulo HTML del browser
- Sinceramente sento che devi darmi una birra per aver risposto a questo