Strumenti per dimostrare NESSUN archiviazione dei dati dei titolari di carta

Come dice un commento qui sopra, stai cercando di dimostrare un risultato negativo e questo è abbastanza difficile! Gli strumenti che cercano espressioni regolari sono utili ma spesso restituiscono molti falsi positivi e non sono in grado di cercare molti tipi di file. Di conseguenza, l'uso di uno strumento dovrebbe essere un singolo strumento all'interno del tuo arsenale.

È possibile verificare quali sistemi e applicazioni gestiscono i dati dei titolari di carta e guardare i file di registro, i file di errore, le tabelle del database e verificare che i dati del titolare della carta non siano presenti. Se si utilizzavano i dati di titolari di carta, è possibile rivedere le posizioni di archiviazione legacy e verificare che tutte le eliminazioni siano avvenute correttamente e che il supporto di backup sia stato sovrascritto o distrutto.

Lo scope PCI DSS afferma che il PAN è il fattore determinante per i dati dei titolari di carta. Se hai il nome di un titolare di carta o la data di scadenza e nessun PAN, non ci sono problemi.

Il metodo più comune per dimostrare che i dati dei titolari di carta non si trovano su un sistema consiste nell'utilizzare uno strumento per eseguire la scansione di tale sistema per i dati dei titolari di carta come ccsrch .

Secondo PCI DSS

Cardholder Data: At a minimum, cardholder data consists of the full PAN. 
Cardholder data may also appear in the form of the full PAN plus any of the following:
cardholder name, expiration date and/or service code See Sensitive Authentication Data
for additional data elements that may be transmitted or processed (but not stored) as
part of a payment transaction.

La parola chiave qui è PIÙ una delle seguenti: nome del titolare della carta, data di scadenza ecc ... Se puoi provare che i PAN non esistono, allora i nomi dei titolari di carta e le date di scadenza non sono necessariamente dati del titolare. Il codice CVV non dovrebbe mai essere mai archiviato mai, ma provare che ogni 3 o 4 cifre è o non è un CVV è impossibile, quindi questo si riduce ai flussi di dati e garantisce che queste cose non siano archiviate. È meglio chiedere all'auditor in che modo desiderano dimostrare la non esistenza dei dati dei titolari di carta e su quali sistemi devono essere provati.

Lo strumento Spider di Cornell era piuttosto popolare, ma credo che ora lo facciano pagare.

Puoi trovare un post sul blog con altre opzioni QUI (grazie google).

Uno degli elementi richiesti dal DSS è un diagramma che mostra il flusso di dati PCI attraverso il sistema e la rete. Quando mi è stato chiesto di dimostrare questo aspetto negativo, ho mostrato all'interrogante l'architettura del codice, che mostra anche gli oggetti dati, i percorsi che usano e dove i dati sono archiviati / rimossi. Seguo mostrando i sistemi che i dati attraversano ed eseguo un esame per i numeri CC su un campione statisticamente rilevante (file di registro, applicazione e sistema).

Come spiegato sopra, non sto dimostrando un aspetto negativo, ma seguendo questi passaggi e avendo a disposizione la documentazione adeguata, l'intervistatore sembra accettare maggiormente il fatto che i nostri processi non richiedono la memorizzazione del PAN e che è implementato nel codice.