PCI PIN Security consente di mantenere il PIN in memoria per un breve periodo di tempo?

7

Mi è stato chiesto di implementare una pagina in cui un utente può sbloccare il suo account tramite numero di carta di credito e validazione PIN + qualche altro metodo (ad es. SMS OTP) in un processo in due fasi.

Il flusso suggerisce di convalidare prima il numero CC e il PIN e quindi eseguire la convalida SMS OTP.

Per prevenire l'abuso di risorse di back-end e l'eventuale blocco del PIN su larga scala, un'idea è:

  • La prima pagina acquisisce il numero CC e il PIN
  • Utilizza solo il numero CC per trovare l'utente
  • Invia un OTP SMS al suo cellulare
  • Se SMS OTP verifica, quindi convalida numero CC e PIN

Quindi, il numero CC e il PIN verranno conservati in memoria (sessione HTTP) dal momento in cui l'utente li ha immessi nella prima pagina finché non riceve e invia l'OTP nella seconda pagina (alcuni minuti, immagino).

Violare regole PCI? Soprattutto la parte "mantieni il PIN in memoria"?

Requisiti di sicurezza PIN, versione 2.0 , legge:

Requirement 4: PINs must not be stored except as part of a store-and-forward transaction, and only for the minimum time necessary. If a transaction is logged, the encrypted PIN block must be masked or deleted from the record before it is logged.

e subito sotto:

Transactions may be stored and forwarded under certain conditions - ISO 9564

Ho controllato una versione precedente di ISO 9564-1 ma non ho trovato nulla per quanto riguarda l'archiviazione e l'inoltro. Qualcuno ha qualche informazione sulle condizioni in base alle quali sono consentiti store and forward?

Inoltre, mantenere il PIN in memoria per un breve periodo di tempo si qualifica anche come "negozio"?

    
posta Kos Prov 14.11.2017 - 16:35
fonte

2 risposte

1

Lo spazio di archiviazione in termini PCI si riferisce ai dati scritti sul disco e generalmente non ai dati memorizzati nella RAM volatile. Il riferimento all'archiviazione per archivio e inoltro è su disco e consente ai dispositivi di memorizzare le informazioni di convalida del titolare della carta in attesa che un dispositivo sia in grado di connettersi o riconnettersi a un prestatore di servizi di pagamento o acquirente ai fini dell'autenticazione del titolare della carta per consentire l'autorizzazione della transazione. In PCI, questi dati non possono essere archiviati successivamente alla transazione, ad esempio, una volta che il suo scopo è soddisfatto, deve essere cancellato.

Il processo a cui si fa riferimento deve includere la memorizzazione del PIN nel back-end, che è consentita solo per gli emittenti e che i dati devono essere archiviati in modo sicuro. Stai anche descrivendo la memorizzazione dei dati nella RAM Volatile che è consentita.

    
risposta data 19.06.2018 - 18:01
fonte
0

Sembra violare il requisito che hai pubblicato e non vi è alcun motivo per farlo. Basta generare un token dopo che il pin è stato verificato la prima volta e fornire il token + OTP per verificare la seconda volta.

    
risposta data 20.04.2018 - 13:00
fonte

Leggi altre domande sui tag