Ho ereditato il compito dell'auto-auditing di un sistema di e-commerce per la conformità allo standard PCI-DSS.
Stiamo memorizzando il PAN nel nostro database in forma crittografata utilizzando l'algoritmo AES a 256 bit per eseguire la crittografia. La generazione della chiave avviene all'interno dell'applicazione e deriva da una password impostata dall'utente. La password viene letta all'avvio dell'applicazione da una configurazione. file. Il sistema di crittografia utilizzato è fornito dai metodi jasypt PBE.
Non sono chiaro in che modo un tale sistema debba essere gestito per la conformità PCI-DSS.
Q1: la password sopra può essere considerata la "chiave di crittografia chiave"?
Q2: Requisito PCI-DSS 3.6.6 "Se si utilizzano le operazioni manuali di gestione delle chiavi crittografiche con testo in chiaro, queste operazioni devono essere gestite utilizzando la conoscenza divisa e il doppio controllo (ad esempio, richiedendo due o tre persone, ognuna con solo conoscenza il proprio componente chiave, per ricostruire l'intera chiave). " rilevante in questo caso e, in caso affermativo, come potrebbe essere implementato?
Sono preoccupato per la necessità di conformità a 3.6.6 che influisce sulla nostra rapida iterazione di sviluppo e sul ciclo di implementazione.