Conformità PCI-DSS per le aziende con soli terminali a scorrimento

Naviga le tue risposte
5

Supporto l'infrastruttura IT per una piccola azienda di vendita al dettaglio che ora è tenuta a sottoporsi a una valutazione PCI-DSS. Il servizio di pagamento e il fornitore di terminali ( Streamline ) hanno chiesto di utilizzare Trustwave per la certificazione PCI-DSS.

Il problema che devo affrontare è che se rispondo a tutte le domande e seguo i requisiti di Trustwave alla lettera, dovremo investire in modo significativo nelle apparecchiature di rete per segmentare le LAN e / o fare scansione interna delle vulnerabilità, mentre allo stesso tempo Streamline mi assicura che i terminali che abbiamo ( Verifone VX670- B e MagIC3 X-8 ) sono sicuri, non memorizzano informazioni sulla carta di credito e sono conformi allo standard PCI-DSS, quindi implicitamente non è necessario intraprendere alcuna azione per garantire la sicurezza della rete.

Sto cercando qualsiasi suggerimento su come possiamo facilmente soddisfare i requisiti di rete per PCI-DSS.

Alcuni sottofondi sulla nostra attuale configurazione di rete:

  • LAN cablata singola, anche con WiFi acceso (anche se questo crea complessità PCI-DSS possiamo spegnerlo).
  • router ADSL Netgear singolo. Questo è l'unico firewall che abbiamo installato e il firewall è fuori dalla configurazione della scatola (cioè senza DMZ, SNMP, ecc.). Le password sono state cambiate però: -)
  • alcuni PC Windows e 2 Windows basati su Windows, nessuno dei quali vede mai alcuna informazione sulla carta di credito.
  • due terminali a scorrimento. Fino a pochi mesi fa (prima ci veniva detto che dovevamo essere certificati PCI-DSS) questi terminali facevano l'autenticazione / l'acquisizione per telefono. Streamline ha suggerito di passare ai loro IP Servizio a banda larga , che utilizza invece un canale crittografato SSL su Internet per eseguire auth / capture, quindi ora utilizziamo tale servizio.

Non facciamo alcun e-commerce o riceviamo pagamenti via Internet. Tutte le transazioni sono o il titolare della carta presente, o MOTO con i dettagli forniti tramite telefono e digitato direttamente nel terminale. La nostra sede è nel Regno Unito.

Come al momento capisco, abbiamo tre opzioni per ottenere la certificazione PCI-DSS.

  1. segmenta la nostra rete in modo che i terminali POS siano isolati da tutti i PC e configuri la scansione delle vulnerabilità interne su quella rete.
  2. non segmentare la rete, e devono fare più scansioni interne e avere una gestione dei PC più onerosa di quanto pensiamo di aver bisogno (per esempio, sebbene le casse siano basate su Windows, sono completamente gestite quindi non ho controllo su politiche di aggiornamento del software, antivirus ecc.). Tutti i PC hanno antivirus (MSE) e gli aggiornamenti di Windows vengono applicati automaticamente, ma non abbiamo alcun sistema centralizzato
  3. torna a auth / capture su linee telefoniche.

Non posso immaginare che siamo il primo commerciante ad essere in questa situazione. Sto cercando qualsiasi raccomandazione un modo semplice ed economico per essere conforme allo standard PCI-DSS: eseguendo 1 o 2 sopra con (si spera) attrezzature / software semplici e poco costosi, o in qualsiasi altro modo se c'è un modo migliore per farlo . Oppure ... dovremmo tornare all'era della pietra digitale e fare l'auth / capture al telefono, il che significa che non abbiamo bisogno di fare nulla sulla nostra rete per essere certificati PCI-DSS?

    
posta rowatt 28.09.2012 - 16:50
fonte

3 risposte

4

Non sono un revisore dei conti e nessuno, tranne un auditor, può darti risposte valide. Detto questo, lo PCI Data Security Standard è ragionevolmente diretto su questi argomenti:

The cardholder data environment is comprised of people, processes and technology that store, process or transmit cardholder data or sensitive authentication data.

Pertanto, non è necessario archiviare i dati delle carte per metterli in ambito; la trasmissione è sufficiente. I tuoi terminali trasmetteranno i dati dei titolari di carta e così sono "in ambito" per i requisiti PCI.

Network segmentation of, or isolating (segmenting), the cardholder data environment from the remainder of an entity’s network is not a PCI DSS requirement. However, it is strongly recommended as a method that may reduce:

  • The scope of the PCI DSS assessment
  • The cost of the PCI DSS assessment
  • The cost and difficulty of implementing and maintaining PCI DSS controls
  • The risk to an organization (reduced by consolidating cardholder data into fewer, more controlled locations)

In altre parole, qualsiasi sistema connesso alla rete con terminali di elaborazione su di esso è "in ambito" e dovrà essere scansionato e verificato. Devi solo segmentarlo se non vuoi attestare che è fino allo snuff della sicurezza PCI ogni anno! (Detto questo, è probabilmente più economico e facile per te segmentarlo piuttosto che sottoporre tutto alla tua rete ai requisiti PCI).

Il Questionario di autovalutazione PCI DSS delinea i diversi tipi di imprese e quali sono le loro esigenze generali . In base alla tua descrizione, sei SAQ "C", delineato a pagina 11. Ne ho citato una parte in basso e evidenziato il pallino affermando che, sì, vogliono che tu segmentassi la tua rete:

SAQ C merchants validate compliance by completing SAQ C and the associated Attestation of Compliance, confirming that:

  • Your company has a payment application system and an Internet connection on the same device and/or same local area network (LAN);
  • The payment application system/Internet device is not connected to any other systems within your environment (this can be achieved via network segmentation to isolate payment application system/Internet device from all other systems);
  • Your company store is not connected to other store locations, and any LAN is for a single store only;
  • Your company retains only paper reports or paper copies of receipts;
  • Your company does not store cardholder data in electronic format; and
  • Your company’s payment application software vendor uses secure techniques to provide remote support to your payment application system.

La buona notizia è:

  1. A livello di merchant a basso volume, ti basta semplicemente compilare un modulo e firmarlo dicendo che sei conforme, quindi non hai la costosa verifica da affrontare.
  2. Ci sono molte regole PCI che sembrano stupide. Questo non è uno di loro. La segmentazione della rete, o la sua mancanza, è stata ripetutamente dimostrata come un fattore significativo nelle violazioni dei dati delle carte di credito.
  3. Se il negozio è così piccolo, questo non è costoso da risolvere. Acquista un firewall SOHO con uno switch a 4 porte integrato, assicurati che sia spento, collega i tuoi due terminali e collega l'interfaccia WAN alla tua LAN. Hai finito per meno di $ 100.
risposta data 28.09.2012 - 20:07
fonte
1

Sono preoccupato per le tue transazioni MOTO. Quando dici che sono fatti su un terminale, intendi i terminali del venditore (Verifone VX670-B e MagIC3 X-8), giusto? Se è così, va bene.

I tuoi sistemi consentono di qualsiasi mappatura delle informazioni sulle transazioni delle carte su qualsiasi dato di consumo che puoi conservare, ad esempio un numero di transazione di autorizzazione della carta di credito sul nome e l'e-mail del cliente che conservi nel tuo database? Se è così, hai un'esposizione che i piloti PCI vorranno esaminare. Un mio cliente in passato aveva sistemi correttamente protetti, ma il loro account mailchimp (e-mail di massa) è stato violato e tutti i clienti hanno ricevuto una e-mail che diceva che le informazioni della carta erano state compromesse quando in realtà tutti i dati erano ancora al sicuro. Ma PCI lo affronta comunque perché al di sopra e al di là di qualsiasi altra cosa, esiste PCI per proteggere la reputazione collettiva di Payment Card Industry (PCI).

Metteremo Splunk sui tuoi PC fino a consolidare il tuo errore Win, il sistema, la transazione SQL, il firewall e i registri AV, quindi rivedere regolarmente la risorsa di registro integrata (nel tuo questionario PCI attesti che lo fai). La revisione dei registri, in particolare i registri di sistema TSQL e Win (installazione di nuovi sfwr, ecc.) È particolarmente utile per rivelare le vulnerabilità e certificare che non esistono vulnerabilità sfruttabili. Se non stai consolidando ed esaminando questi log, non hai una base ragionevole per affermare diversamente.

È meglio farlo ora e averlo fatto, piuttosto che farti consigliare da esperti di analisi forensi.

    
risposta data 28.09.2012 - 23:06
fonte
-3

Hai già parlato con un auditor? Probabilmente non devi fare nulla se non rispondere a un sondaggio. Una volta che si certifica che non si accetta nulla di diverso dai salti di carte e non si memorizzano numeri di carta in nessun luogo, allora l'audit è completo.

Tutte le altre cose sono necessarie quando l'azienda mantiene le carte di credito memorizzate da qualche parte.

    
risposta data 28.09.2012 - 17:26
fonte

Leggi altre domande sui tag

Come dovrebbe essere creata una lista bianca di connessioni in uscita? Il server di posta (sendmail) invia spam a persone innocenti