Ambito PCI-DSS con tokenizzazione

Question

Ambito PCI-DSS con tokenizzazione

#1 da (3 voti)
#2 da (0 voti)

6

La mia organizzazione utilizza ora la tokenizzazione e non archiviamo più alcuna informazione della carta di credito.

Ora penso che potrei non aver più bisogno di alcuni dei seguenti controlli: - (potrebbero essercene altri anche se questi sono i principali)
11.1 - Verificare la presenza di punti di accesso wireless e rilevare punti di accesso wireless non autorizzati su base trimestrale.
** Non più necessario poiché il Wi-Fi non è consentito nel mio ambiente e il server di tokenizzazione è in una DC ** 11.2 - Eseguire scansioni di vulnerabilità della rete interna ed esterna almeno trimestrale ...
** Per ridurre i costi di scansione PCI-DSS esterni e continuare a utilizzare gli strumenti di valutazione delle vulnerabilità esterne ** 11.3 Eseguire test di penetrazione esterna e interna almeno una volta all'anno .....
Se necessario, descriverò i test dei sistemi PCI-DSS. (Qualcosa che non farei comunque)

Quali sono i tuoi pensieri? Riesci a fare molta attenzione quando usi la tokenizzazione?
- Il wireless non sarà collegato all'ambiente dei dati del titolare della carta. - Avrò ancora bisogno di controlli sul sistema di tokenizzazione compresi quelli che ho menzionato sopra. - Se il sistema di tokenizzazione è nella mia DMZ con altri server che hanno tutti un indirizzo IP instradabile, significa che tutti questi sistemi rientreranno nel CDE e dovranno comunque essere scansionati come parte di 11.2 e 11.3?

Il QSA che funziona con la società ci dice che tutto è ancora in ambito per PCI-DSS. Di recente ha aggiunto il nostro server di posta elettronica nell'ambito del CDE quando i dipendenti inviano i loro numeri di carta di credito personali o aziendali via email quando ordinano fiori o voli. Pensieri? Il problema del server di posta elettronica è qualcosa che correggerò tramite la politica.

Il mio amico che è un QSA ha detto di sì, e forse non hai più bisogno di controlli. Che cosa esattamente, non sono sicuro in questo momento.

dice PCI "Le soluzioni di tokenizzazione non eliminano la necessità di mantenere e convalidare PCI DSS conformità, ma possono semplificare gli sforzi di convalida del commerciante riducendo il numero di componenti del sistema per i quali si applicano i requisiti PCI DSS "

"I sistemi e i processi di tokenizzazione devono essere protetti con forti controlli di sicurezza e monitoraggio per garantire la continua efficacia di tali controlli "

link

Grazie.

pci-dss

posta Teddy 09.10.2012 - 13:21

fonte

2 risposte

Leggi altre domande sui tag pci-dss

Il framework del velo produce binari imballati e offuscati che aggirano il virustoto? In che modo ZixCorp è in grado di fornire la crittografia e-mail senza password?

score 3 · Answer 1

Wireless will not be connected the the card holder data environment

Bene, questo è quello che le scansioni dovrebbero determinare, vero?

If the tokenisation system is in my DMZ with other servers all that have a routable IP address

Non sembra una buona idea. La tua DMZ dovrebbe essere una zona tampone tra il mondo esterno e il tuo sistema di tokenizzazione, che dovrebbe essere in una rete interna CDE protetta da sola.

will this mean all those systems will fall under the CDE and will still need to be scanned as part of 11.2 and 11.3?

Se non ci sono limiti di rete / punto di controllo tra due macchine, di cui una memorizza / elabora / trasmette i dati di titolari di carte, allora entrambe le macchine sono nel CDE, sì.

we need to consider our email server as employees send credit card numbers out when they order flowers or flights.

Descrivi esattamente cosa sta succedendo qui perché sembra molto problematico. Se i numeri delle carte di credito vengono inviati in chiaro via e-mail, contrariamente a ogni intento del PCI (e del buon senso), e se i dipendenti accedono ai numeri delle carte per inviarli dai loro desktop, hai appena portato tutti i tuoi desktop aziendali in ambito anche.

O stai parlando di dipendenti che utilizzano le proprie carte di credito per acquistare oggetti, indipendentemente dalle tue operazioni come commerciante? Se è così che questo non è il tuo problema di cui preoccuparsi. (Ma ancora - i numeri delle carte via e-mail ... cosa?!)

score 0 · Answer 2

La domanda che devi porsi ", un chiaro numero di carta tocca il mio server",

se utilizzi la tokenizzazione, la risposta è ancora probabilmente sì, probabilmente sei in ambito perché per inviare qualsiasi tipo di autorizzazione di una carta devi comunque chiedere al servizio di tokenizzazione la versione chiara del PAN, portando i tuoi server in ambito di applicazione.

La tokenizzazione ti consente di mantenere la sicurezza dei DB, la gestione delle chiavi, ecc., ma i tuoi server sono ancora in ambito, i PAN potrebbero ancora essere teoricamente trovati in alcuni punti inaspettati nei tuoi registri, ecc.