Strumenti per dimostrare NESSUN archiviazione dei dati dei titolari di carta

4

Alla nostra organizzazione è stato chiesto di rispettare PCI DSS.

Come parte del dipartimento IT, dobbiamo dimostrare che nessuna delle nostre infrastrutture IT memorizza i dati relativi a Carhdolder né dati di autenticazione sensibili. È come 7 tipi di dati (cioè PAN, nome del titolare della carta, codice di servizio, data di scadenza, banda magnetica completa, codice di convalida, PIN) Abbiamo provato alcuni strumenti per la ricerca di file e ci aiutano a identificare i PAN, ma nessuno di essi identifica i modelli per il resto dei tipi di dati come codice di servizio, banda magnetica completa o codice di convalida che sono dati sensibili e secondo PCI non dovrebbero essere memorizzato qualunque. Come possiamo eseguire una scansione simile in un database?

Quale sarebbe il miglior modo tecnico per dimostrare che non memorizziamo nessuno di quei dati?

    
posta xrush 02.07.2015 - 20:16
fonte

3 risposte

1

Come dice un commento qui sopra, stai cercando di dimostrare un risultato negativo e questo è abbastanza difficile! Gli strumenti che cercano espressioni regolari sono utili ma spesso restituiscono molti falsi positivi e non sono in grado di cercare molti tipi di file. Di conseguenza, l'uso di uno strumento dovrebbe essere un singolo strumento all'interno del tuo arsenale.

È possibile verificare quali sistemi e applicazioni gestiscono i dati dei titolari di carta e guardare i file di registro, i file di errore, le tabelle del database e verificare che i dati del titolare della carta non siano presenti. Se si utilizzavano i dati di titolari di carta, è possibile rivedere le posizioni di archiviazione legacy e verificare che tutte le eliminazioni siano avvenute correttamente e che il supporto di backup sia stato sovrascritto o distrutto.

Lo scope PCI DSS afferma che il PAN è il fattore determinante per i dati dei titolari di carta. Se hai il nome di un titolare di carta o la data di scadenza e nessun PAN, non ci sono problemi.

    
risposta data 15.07.2015 - 03:54
fonte
0

Il metodo più comune per dimostrare che i dati dei titolari di carta non si trovano su un sistema consiste nell'utilizzare uno strumento per eseguire la scansione di tale sistema per i dati dei titolari di carta come ccsrch .

Secondo PCI DSS

Cardholder Data: At a minimum, cardholder data consists of the full PAN. 
Cardholder data may also appear in the form of the full PAN plus any of the following:
cardholder name, expiration date and/or service code See Sensitive Authentication Data
for additional data elements that may be transmitted or processed (but not stored) as
part of a payment transaction.

La parola chiave qui è PIÙ una delle seguenti: nome del titolare della carta, data di scadenza ecc ... Se puoi provare che i PAN non esistono, allora i nomi dei titolari di carta e le date di scadenza non sono necessariamente dati del titolare. Il codice CVV non dovrebbe mai essere mai archiviato mai, ma provare che ogni 3 o 4 cifre è o non è un CVV è impossibile, quindi questo si riduce ai flussi di dati e garantisce che queste cose non siano archiviate. È meglio chiedere all'auditor in che modo desiderano dimostrare la non esistenza dei dati dei titolari di carta e su quali sistemi devono essere provati.

Lo strumento Spider di Cornell era piuttosto popolare, ma credo che ora lo facciano pagare.

Puoi trovare un post sul blog con altre opzioni QUI (grazie google).

    
risposta data 03.07.2015 - 00:36
fonte
0

Uno degli elementi richiesti dal DSS è un diagramma che mostra il flusso di dati PCI attraverso il sistema e la rete. Quando mi è stato chiesto di dimostrare questo aspetto negativo, ho mostrato all'interrogante l'architettura del codice, che mostra anche gli oggetti dati, i percorsi che usano e dove i dati sono archiviati / rimossi. Seguo mostrando i sistemi che i dati attraversano ed eseguo un esame per i numeri CC su un campione statisticamente rilevante (file di registro, applicazione e sistema).

Come spiegato sopra, non sto dimostrando un aspetto negativo, ma seguendo questi passaggi e avendo a disposizione la documentazione adeguata, l'intervistatore sembra accettare maggiormente il fatto che i nostri processi non richiedono la memorizzazione del PAN e che è implementato nel codice.

    
risposta data 05.11.2015 - 13:24
fonte

Leggi altre domande sui tag