Conformità PCI se non memorizza o trasmette i dati della carta di credito

6

Ho un prodotto in rete che installiamo sulle reti dei clienti. Il dispositivo non trasmette nessuno dei dati CC, ma si trova solo sulla stessa rete (si pensi a Nest o Dropcam). Le reti dei clienti a volte includono un dispositivo POS. Non riceviamo, elaboriamo o vediamo mai alcuna informazione sulla carta di credito. Tuttavia, dal momento che i nostri clienti sono conformi PCI, vogliono che anche noi siamo conformi allo standard PCI.

1) La conformità PCI richiede che tutti i tuoi fornitori (ad esempio io) siano anche conformi PCI?

2) Tutte le informazioni e i questionari che ho trovato sono specificamente rivolti alle organizzazioni che effettivamente memorizzano o elaborano i dati di pagamento. Esiste un'autovalutazione per situazioni in cui non trasmetto dati di carte di credito, ma siedi sulla stessa rete del POS?

3) Se, come questo question suggerisce, sono già conforme PCI, posso ottenere qualcosa che certifica che non elaboro alcun dato della carta di credito e sono conforme PCI? Nota che non penso di essere compatibile con PCI solo perché non immagazzino PAN. Il cliente sarebbe nei guai se esponessi un buco di sicurezza nella loro rete (cosa che non faccio, ma non ho nessun pezzo di "certificazione" che lo dica).

    
posta Scott 16.09.2014 - 16:21
fonte

3 risposte

7

Poiché il sistema si trova all'interno della stessa rete dei sistemi client che possono gestire i dati dei titolari di carta, il sistema può essere incluso nell'ambito della conformità del cliente. A questo proposito puoi essere considerato un sistema connesso. Dalla pagina dell'ambito del PCI DSS: I requisiti di sicurezza PCI DSS si applicano a tutti i componenti di sistema inclusi o connessi all'ambiente dei dati dei titolari di carta.

Sembra che il componente del sistema sia all'interno o connesso all'ambiente dei dati del titolare della carta (ad esempio l'ambiente in cui si trova il POS o altri dispositivi che gestiscono i dati dei titolari di carta).

Sembra che il client debba segmentare il dispositivo a livello di rete per rimuoverlo dall'ambiente dei dati di titolari di carta o includere il dispositivo con il loro ambito di applicazione. Per fare ciò, devi fornire le istruzioni del cliente su come collocare e mantenere il tuo dispositivo in modo sicuro.

Poiché è possibile accedere in remoto al dispositivo, è possibile attaccare internamente la rete del cliente. Il dispositivo Linux si è irrigidito, è aggiornato, è abilitato alla registrazione, quale è la gestione degli utenti, le tabelle IP sono configurate? L'accesso remoto richiede l'autenticazione a due fattori? Ognuna di queste è una domanda posta da un QSA in merito alla sicurezza e alla potenziale minaccia / vulnerabilità posta dal dispositivo.

    
risposta data 16.09.2014 - 17:25
fonte
0

Memorizzi i dati della carta di credito? Passa mai attraverso il tuo sistema?

Se hai risposto No, allora sei conforme. PCI si applica solo a quelle società che gestiscono i dati delle carte di credito. Credo che ci sia un'autovalutazione che è possibile eseguire che richiede poco lavoro.

link

spero che aiuti

    
risposta data 16.09.2014 - 16:43
fonte
0

Se non vedi, elabori o memorizzi informazioni PCI, non devi necessariamente trovarti nello scope PCI DSS del tuo cliente.

Potresti trovare il QSA che vuole porre alcune domande solo per confermare questo stato, ma l'ambito dovrebbe includere solo le informazioni sulla carta.

    
risposta data 16.09.2014 - 16:43
fonte

Leggi altre domande sui tag