L'invio di informazioni sulla carta di credito via e-mail viola lo standard PCI DSS?

5

Essendo negli Stati Uniti, ho notato che sempre più aziende chiedono di inviare informazioni sensibili sulla carta di credito (tutte le informazioni necessarie per effettuare una transazione) su una semplice email. Credo che questa sia una minaccia alla sicurezza o almeno una cattiva pratica.

La mia domanda è se viola uno qualsiasi degli standard (come PCI DSS ) e come si dovrebbe gestire tali richieste?

    
posta Salvador Dali 19.12.2014 - 02:17
fonte

2 risposte

10

Sì, requisito 4.2 DSS PCI:

Never send unprotected PANs by end-user messaging technologies (for example, e-mail, instant messaging, chat, etc.).

A meno che l'email non sia in qualche modo crittografata, non ti è consentito utilizzarla per inviare dati ai titolari di carta.

    
risposta data 19.12.2014 - 04:23
fonte
2

Nella pratica , viola il DSS. Nella teoria , potrebbe non esserlo, ma questa è pedanteria piuttosto che realtà.

I requisiti DSS 3.4 ([crittografano] i dati PAN in memoria) e 4.1 (crittografano i dati PAN attraverso le reti pubbliche) sono generalmente violati dalla posta SMTP. Ogni mail hop è un gateway store-and-forward che scrive la posta su disco anche se solo temporaneamente; a meno che non sia crittografato, si tratta di una violazione 3.4. Ogni connessione di posta elettronica crittografata con TLS è accettabile per il 4.1 ... ma un commerciante non può garantire che il tuo sistema o i sistemi tra te e loro utilizzeranno TLS, in modo tale da non passare mai un controllo.

Sebbene sia teoricamente possibile avere un percorso completamente crittografato (ogni server di posta con disco crittografato e tutte le connessioni di rete protette con TLS), è improbabile e non applicabile per le e-mail basate su Internet. Quindi, no, l'invio di dati tramite posta elettronica viola lo standard PCI DSS e non dovresti chiedere a un commerciante di farlo, e non dovresti farlo se ti chiedono di farlo.

(Ancora accade . PCI non è strutturato per rendere più facile per i titolari della carta lamentarsi delle pratiche dei commercianti con cui si occupano. Rifiutare e passare a un altro commerciante è probabilmente la soluzione migliore .)

    
risposta data 19.12.2014 - 03:07
fonte

Leggi altre domande sui tag