Come crittografare il numero della carta di credito per archiviarlo nel database del server SQL secondo il requisito PCI DSS?

4

In base al PCI-DSS 3.4 Requisito:

Rendi PAN illeggibile ovunque sia memorizzato usando i seguenti metodi:

  1. Hash unidirezionale
  2. troncamento
  3. Token e pad indice
  4. Crittografia strong con processi e procedure di gestione delle chiavi associati

La mia domanda basata sul requisito precedente è:

  1. Quindi, se è necessario crittografare i dettagli della carta di credito, quale sarebbe un processo migliore?

  2. Se vogliamo crittografare il numero della carta di credito per l'archiviazione, allora dovremmo disporre di Data Encryption Key (DEK) per crittografare il numero della carta di credito. Quindi abbiamo bisogno di generare una chiave di crittografia unica per crittografare ogni numero di carta di credito? o per generare una chiave di crittografia univoca per ciascun utente (ogni utente può avere due o più CC)? o per generare una singola chiave di crittografia per crittografare tutti i numeri delle carte di credito?

  3. Fornisci anche link relativi a un time pad o per favore spiegali a riguardo?

posta RajeshKannan 22.01.2014 - 18:46
fonte

1 risposta

4
  1. Le prime due opzioni (hash unidirezionale, troncamento) non ti lasciano con un numero di lavoro, quindi se ti aspetti di riutilizzare la carta in futuro queste non funzioneranno per te. All'altra estremità dello spettro, la crittografia avanzata ti darà quell'abilità, ma è più difficile e implica l'impostazione di processi (come la rotazione e la gestione delle chiavi).

  2. A causa dei requisiti di rotazione delle chiavi, le soluzioni di solito si basano sull'uso di un tasto in tutto il suo cryptoperiod, piuttosto che sull'accoppiamento di chiavi con utenti o schede.

    Generalmente utilizzerai un DEK (chiamalo DK1) per la crittografia di più carte, per la durata del OUP (periodo di utilizzo dell'originale) di DEK. Diciamo che l'OUP è di 3 mesi. Dopo 3 mesi, si genera un nuovo DEK (DK2) e tutte le nuove crittografie delle carte inizieranno a utilizzare quel numero. Tuttavia, per tutte quelle carte che hai crittografato nei primi tre mesi, potresti doverle decrittografare, giusto? Quindi DK1 può continuare a essere utilizzato per la decrittografia di quelle carte crittografate esistenti durante il suo RUP (Recipient Usage Period) che è più lungo (diciamo 12 mesi).

    Quindi, in qualsiasi momento, avrai almeno un DEK in uso come e un RUP OUP e altri 3 DEK usati esclusivamente come RUP. E poiché il DEK più vecchio si avvicina alla fine del suo RUP, devi re-cifrare tutte le sue carte con un nuovo DEK.

    Questo è ciò che PCI intende con "con processi e procedure di gestione delle chiavi associati". La terminologia precedente è dal NIST 800-57, che PCI cita come esempio del tipo di linee guida per la gestione delle chiavi che cercano in DSS 3.6.4.

    Dovresti anche proteggere questa stable di DEK con un KEK (Key Encrypting Key).

  3. No. < OPINION > I pad unici non sono una soluzione realistica; mentre sono crittograficamente sicure, non sono gestibili su nessuna scala utilizzabile. Immagina cosa ho detto per # 2, ma con un DEK per scheda! < / OPINION >

risposta data 22.01.2014 - 23:20
fonte

Leggi altre domande sui tag