Sto riscontrando problemi nell'individuare una definizione PCI DSS chiara per "Archiviazione" e, in ogni caso, che Microsoft BizTalk possa essere considerato all'interno di tale definizione. Un server BizTalk sovraccarico o un orcestration fallito potrebbero costituire storage anche se solo momentaneo?
Dubito che troverai una definizione specifica di archiviazione da PCI DSS poiché ci sono così tanti modi diversi di percepire quando i dati sono "memorizzati". Un rapido sondaggio di altri 3 QSA intorno a me non potrebbe raggiungere immediatamente il consenso se BizTalk memorizza solo le informazioni se sovraccarico o anche quando funziona normalmente. I file di cache, ecc., Possono tutti giocare un ruolo anche se normalmente non li vedi né lo aspetti.
Una cosa su cui tutti concordiamo è che alla fine non ha importanza nel tuo scenario in base alle informazioni che hai fornito. PCI DSS si applica a tutti i sistemi se elabora, trasmette o memorizza i dati dei titolari di carta. Chiaramente BizTalk è usato per elaborare e trasmettere informazioni per lo meno. Se il sistema ha il potenziale per memorizzare le informazioni quando sovraccarico, deve essere considerato e tutti i controlli applicabili messi in atto per salvaguardare le informazioni del titolare della carta.
PCI DSS è preoccupato per la presenza di titolari di carta o dati sensibili su supporti di memorizzazione durevoli, sia che lo scopo funzionale sia temporaneo, come in una cache o in coda o in scambio o permanente.
Lo storage duraturo offre ulteriori opportunità di esposizione, indipendentemente dallo scopo, e espande gli scenari in cui i guasti possono portare a un compromesso.
L'uso di storage durevole per scopi temporanei di solito deve essere accompagnato da controlli per dimostrare che i dati sensibili o di titolari di carta vengono cancellati in modo sicuro anche in scenari di fallimento.