PCI DSS e Memcached

7

Se memorizzo i dettagli del titolare della carta (PAN, Expiry ecc.) in un bucket di dati Memcached, è qualcosa di cui preoccuparsi in termini di conformità PCI DSS?

Il nostro database si trova in un centro dati ed è crittografato. Il nostro server web è anche in questo centro dati. Se memorizzo nella cache i dettagli del titolare di una carta su un nodo del server Memcached che è in esecuzione sulla stessa casella del server Web o su una macchina diversa nella stessa subnet del server Web, devo oscurare o crittografare i dati memorizzati nella cache?

Il mio pensiero iniziale è "no" perché non stiamo persistendo i dati; è tutto spazio di archiviazione temporaneo.

modifica : la nostra architettura attuale è conforme allo standard PCI-DSS; siamo stati ritenuti conformi alcuni mesi fa. Ora si tratta di rimanere in quel modo.

    
posta Anthony 20.12.2011 - 01:26
fonte

2 risposte

6

È abbastanza persistente da essere recuperato. Non c'è motivo di mantenere i dati personali identificabili in modo non criptato. Se riesci ad accedervi senza una chiave, puoi farlo anche con un intruso.

Rendi sicuro e sarà conforme. Non cercare di renderlo conforme aggiungendo sicurezza in un secondo momento.

Essere conformi (passando il tuo ROC) non significa molto per essere onesti. Le aziende che svolgono tale attività hanno competenze diverse e spesso vengono selezionate in base alle probabilità delle società interessate di ottenere un lasciapassare. Non è così che proteggi il marchio della tua azienda.

Se vuoi munizioni per i superiori, e la legge sulla privacy del Massachusetts? Come stai rispettando i tuoi requisiti di dati lì? Che dire del link dell'UE e della clausola di trasferimento di terze parti?

Cifra i dati PII / PAN ogni volta che è seduto, imposta la gestione delle chiavi appropriata e usa cripto-sistemi collaudati per farlo. Sii intelligente nel proteggere i dati dei tuoi clienti e l'immagine del tuo marchio aziendale e sarai conforme.

    
risposta data 20.12.2011 - 02:04
fonte
2

La relativa sezione PCI-DSS dice:

3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
* One-way hashes based on strong cryptography (hash must be of the entire PAN)
* Truncation (hashing cannot be used to replace the truncated segment of PAN)
* Index tokens and pads (pads must be securely stored)
* Strong cryptography with associated key-management processes and procedures

link

La parte ovunque è memorizzata sembra abbastanza chiara - non c'è eccezione per la memorizzazione di dati PAN non crittografati in un database basato su RAM.

Hai detto che la tua architettura era considerata conforme - Se avessi un QSA per valutare il tuo ambiente, questa sarebbe una buona domanda per chiederglielo.

    
risposta data 08.05.2013 - 21:35
fonte

Leggi altre domande sui tag