Perché il browser Web del client non deve essere conforme allo standard PCI?

Bene, in primo luogo, ciò che è scritto è il seguente: le società di carte di pagamento richiedono ai commercianti di essere conformi allo standard PCI-DSS. PCI-DSS non si applica a nessuno che non elabora le transazioni con carta di credito. I requisiti DSS specificano il controllo degli accessi, la registrazione, ecc. Nessuno di questi è applicabile al titolare di una carta.

I clienti non hanno gli stessi contratti dei commercianti. Non vi è alcun vantaggio nel tentativo di registrare l'attività su un computer client. È probabile che vengano rubati numeri di carte individuali in molti luoghi, e il costo / beneficio dell'analisi forense del computer di una persona per la loro unica carta di credito persa è da qualche parte al di sotto di ogni ragionevolezza. Alla fine, la gente non lo accetterà. Se l'uso di una carta di credito è troppo difficile, gli emittenti delle carte vedranno un volume ridotto.

Questo è un classico problema di scoping con gli standard di conformità. Tenere il commerciante pienamente responsabile, ma negare completamente tutti i loro sforzi se il cliente del commerciante non ha protetto i loro browser.

Tuttavia, ciò che rimane discutibile per l'ambito è se il commerciante ha rappresentanti CSR o dipendenti / appaltatori / consulenti di qualsiasi tipo (back-office, tramite business intelligence, CRM, contabilità, funzionari o altro) utilizzando un browser o altro app per accedere ai dati della carta di pagamento.

Ho sentito che esiste un'esclusione per gli eletti dei commercianti che accedono ai dati dei titolari di carta nello stesso modo in cui lo farebbe un cliente - tuttavia questo dipende dal QSA (il valutatore PCI DSS) per decidere: cioè è il loro discrezione.

Per dimostrare che le informazioni di cui sopra sono accurate, permettimi di citare il lavoro di Scoping PCI di Gene Kim , che in una serie di diapositive - discute usando l'IIT (responsabile di COSO) GAIT-R per l'identificazione dei "principi" di conformità rispetto all'identificazione dei "controlli" (di cui il PCI DSS è pesante). Questo è classicamente descritto come "Lo spirito della legge" contro "La lettera della legge" nella giustizia criminale / civile e atti di riforma legale dalla storia dell'umanità.

Nelle diapositive 35 e 37 di 2010 07 BSidesLV Mobilitando la PCI Resistenza 1c , è chiaro che:

1. I dispositivi di categoria 3 sono al di fuori dell'ambito PCI DSS, mentre i dispositivi di categoria 2 e 1 sono in ambito PCI DSS
2. I dispositivi che trasmettono CHD, non sono in grado di decrittografare il CHD e non sono collegati tramite il segmento di rete fisico / virtuale locale a un dispositivo di categoria 1 POSSONO ESSERE CONSIDERATI come categoria 2A, 2B, 2C o anche una categoria 3 dispositivo
3. Secondo l'ambito, il cliente (o coloro che trasmettono il CHD esattamente come un cliente) è considerato un dispositivo di Categoria 3 (e quindi fuori dallo scopo PCI DSS). Il trucco qui è quello di assicurarsi che il rappresentante CSR (o altro impiegato mercantile / appaltatore / consulente) non stia violando nessun altro flusso di lavoro di scoping come dettato nella diapositiva 37, come la cache di CHD tramite il browser (o proxy, application-layer- gateway, ecc.) o il salvataggio del CHD nella funzionalità di completamento automatico del modulo HTML del browser
4. Sinceramente sento che devi darmi una birra per aver risposto a questo

Questo ha già ricevuto una risposta sufficiente, ma riformulerò la stessa cosa:

PCI non è la legge, è un contratto tra un acquirente (società di carte di credito) e un commerciante. Ciò significa che non può applicare alcuna limitazione al cliente, in quanto non esiste un contratto (vincolante) che potrebbe essere utilizzato per richiedere questo. Quindi, i browser Web client ricevono un pass gratuito.

Tuttavia, questo è importante , se il commerciante sottoposto a controllo possiede le macchine su cui sono in esecuzione i browser web, ad esempio se alcune operazioni vengono eseguite dai clienti che utilizzano il commerciante computer in un negozio: sono parte dell'ambito PCI. Hanno un margine di manovra se il rischio che presentano è basso, ma spetta al revisore decidere caso per caso.

Quindi, per ribadire, l'unico motivo per cui i browser Web client non fanno parte dell'ambito PCI per il commerciante è che il commerciante non può esercitare alcun controllo su di essi. Se possibile, diventano parte dell'ambito.

So che questa non è una risposta diretta, ma penso che questo debba essere sollevato: l'idea generale è che il tuo modello di sicurezza non dovrebbe mai fare affidamento sulla sicurezza del client, poiché il client potrebbe essere malintenzionato, hackerato, virus , modificato, obsoleto o mal configurato ... Il server dovrebbe verificare che il client sia sicuro (seguendo i protocolli di sicurezza), e se non lo è, dovrebbe rifiutarsi di servire.