Domande semplici di conformità PCI

Naviga le tue risposte
4

Per ora leggo il documento di conformità PCI e non capisco niente.

Ho un programma che prende i dati sensibili e di titolari di carta come input (alcuni di essi sono in forma crittografata) e poi restituiti (alcuni di essi sono in forma crittografata).

Ho 2 semplici domande:

  1. Quali elementi devono essere crittografati come input e output? Per ora - come lo capisco - solo PIN, PAN, track2data e codice CVV devono essere crittografati.

  2. Quali elementi devono essere mascherati e come devo farlo? Per ora stavo salvando nei file di registro solo le ultime 4 cifre del PAN (per esempio - ***1234 ), il codice CVV è completamente mascherato (per esempio - ** ), track2data è completamente mascherato e il PIN completamente mascherato .

posta VladislavLysov 11.07.2013 - 14:13
fonte

1 risposta

5

Ciao @VladislavLysov Benvenuto.

Temo che sarà necessario un po 'più specifico; sembra esserci una leggera differenza tra la memorizzazione e la trasmissione di dettagli. Alcuni dati dovrebbero mai essere memorizzati, anche in forma crittografata, come ad esempio l'articolo 3.2.3, che dice: "Non memorizzare il numero di identificazione personale (PIN) o il blocco PIN crittografato."

Indietro di un passaggio, Requisito 3: protezione dei dati dei titolari di carta memorizzati 

3.1 - Keep cardholder data storage to a minimum by implementing data retention and disposal policies, procedures and processes, as follows.

3.2 - Do not store snsitive authentication data after authorization (even if encrypted).

I dati sensibili in questo contesto sono:

  • Valore di verifica carta
  • PIN o il blocco PIN crittografato

  • L'intero contenuto della striscia magnetica

    Per quanto riguarda la banda magnetica, lo stesso PCI afferma che nel "normale corso degli affari, potrebbe essere necessario conservare i seguenti elementi della banda magnetica:

    1. Nome del titolare della carta
    2. Numero account principale (PAN)
    3. Data di scadenza
    4. Codice servizio "

Infine, 

 3.3 - Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed).

Quindi riassumendo e (si spera) rispondi alle tue domande, 1) A mio avviso, l'intera comunicazione dovrebbe essere eseguita in modo crittografato 2) nessuna delle gli oggetti dei tre punti elenco dovrebbero mai essere memorizzati, né crittografati né mascherati. Ciò che hai menzionato riguardo al mascheramento riguarda l'archiviazione dei PAN, che non dovrebbero essere visibili a nessun altro a parte i pochissimi utenti che hanno il diritto di vederlo per portare avanti il loro lavoro. Nei casi in cui il PAN viene visualizzato, ad esempio, all'utente, allora è quando è necessario mascherarlo per non mostrare l'intero numero. CVV, i PIN non dovrebbero mai essere archiviati ovunque, inclusi i log che hai menzionato. È possibile memorizzare (per un periodo non più lungo del necessario) parte del contenuto della banda magnetica e questo deve essere crittografato. Puoi anche memorizzare i PAN, ma di nuovo devono essere mascherati nei log generali e quando vengono presentati agli utenti.

    
risposta data 11.07.2013 - 15:57
fonte

Leggi altre domande sui tag

Fornire OAuth per le app mobili pone una minaccia alla sicurezza? In che modo bruteforce decodifica i dati se non sai cosa stai cercando?