Requisiti PCI-DSS relativi alla lunga esposizione alla vulnerabilità critica (RCE)

3

Supponiamo di avere un sito web di e-commerce in cui il pagamento viene effettuato tramite reindirizzamento a un fornitore di pagamenti, senza elaborazione / archiviazione dei dati dei titolari di carta sul nostro sito (aggiornerò se necessario con la categoria di commerciante PCI esatta, ma capisco che è il più basso, tutti i dati dei titolari di carta sono gestiti dal fornitore di pagamenti).

Supponiamo di aver scoperto 2 mesi fa che diverse vulnerabilità critiche influenzano questo sito Web (punteggio CVSS > 8, inclusi RCE e SQLi).

Supponiamo che da allora non sia stato fatto nulla (patching, mitigazione) e che non abbiamo capacità interne per l'analisi forense, la revisione del registro o qualsiasi altra attività di rilevamento.

Le mie domande sono:

  • Esiste un requisito per condurre indagini per identificare se queste vulnerabilità sono state sfruttate?
  • C'è una divulgazione obbligatoria a chiunque?
  • Un obbligo in termini di ritardo per la riparazione?
posta ack__ 02.12.2016 - 11:41
fonte

2 risposte

4

Nota: non un QSA, ma qualche esperienza PCI.

La sezione pertinente qui è la sezione 6, in particolare la versione 6.1 "Esiste un processo per identificare le vulnerabilità della sicurezza" e in particolare 6.2.b "Sono state installate patch di sicurezza critiche entro un mese dalla release?" (sebbene l'intera sezione sia pertinente alla discussione)

Per conformarsi a PCI DSS, è necessario avere un processo formale per identificare le vulnerabilità di sicurezza, sia nel software di terze parti che nel software che si scrive, attraverso la verifica del National Vulnerability Database o di altre fonti, attraverso revisioni di codice sicure, attraverso test di vulnerabilità. È inoltre necessario disporre di un processo per classificare tali vulnerabilità: la maggior parte dei luoghi utilizza il Sistema di valutazione delle vulnerabilità comuni ma non è Un requisito. E una volta che questi sono segnati, è necessario disporre di un processo che determina quando ognuno deve essere risolto da - e tale processo deve includere la risoluzione delle vulnerabilità critiche entro un mese.

E una volta che hai tutti questi processi, devi effettivamente seguirli.

Non sono a conoscenza di requisiti per la divulgazione all'interno dello standard PCI DSS, sebbene la migliore pratica del settore sia quella di definire politiche per quando divulgare a chi e potrebbero esserci leggi locali (la California ne ha alcune, per esempio) che richiedono divulgazione in determinate circostanze. Sono un credente personale del default a rivelare quando avvengono degli exploit.

    
risposta data 02.12.2016 - 14:57
fonte
4

IANAQSA, e molto di questo ha più a che fare con gli obblighi contrattuali di marca delle carte mercantili rispetto al DSS per sé , quindi c'è più "penso" che "so" del solito qui:

Suppose we have an e-commerce website where payment is done via redirection to a payment provider, with no processing / storage of cardholder data at our site (I'll update if needed with exact PCI merchant category, but I understand that it's the lowest one, all cardholder data is handled by the payment provider).

Sembra che tu sia un commerciante soggetto a SAQ A . Ciò limita l'estensione dello standard PCI DSS a cui è richiesto di aderire. Particolarmente rilevante per le tue domande, non sei soggetto ai requisiti di patching trovati in DSS 6 o all'analisi del registro di DSS 10.

Uno dei problemi di SAQ A ( IMHO! ) è che tutte le protezioni su cui fa affidamento sono banalmente sovvertite da un attaccante che è in grado di avvelenare il tuo sito, ma SAQ A non è soggetto per i requisiti particolari (come 6 e 10) che potrebbero aiutare a proteggere il tuo sito contro quel vettore. Siate attentamente consapevoli del fatto che quando non siete ritenuti responsabili delle protezioni, rimarrete comunque titolari della responsabilità in seguito.

(Ad esempio, richiedendo semplicemente File Integrity Monitoring (FIM) come da DSS 11.5 su SAQ Le pagine di un commerciante che indirizzano i clienti all'iframe o al javascript del processore rappresenterebbero un enorme aumento di sicurezza.Ci sono centinaia di utenti Magento che l'ho imparato nell'ultimo mese o due.)

  • Is there a requirement for conducting investigation to identify whether these vulnerabilities have been exploited?

No, ma se hai motivo di credere che siano stati sfruttati, hai obblighi come commerciante di investigare sulla potenziale carta violazione (ad esempio, pensa in termini di carta / transazione, non termini di computer forensics). Poiché dichiari di "non avere capacità interne per l'indagine forense, la revisione dei log o qualsiasi altra attività di rilevamento", se si determina una violazione qualsiasi indagine tecnica conseguente comporterebbe l'assunzione di una società esterna (si è contrattualmente convenuto di farlo già, se stai accettando pagamenti con carta).

Quando dico "qualsiasi motivo per credere che siano stati sfruttati", intendo "qualsiasi indicazione di aumento delle frodi relative alle carte che i tuoi clienti hanno affidato al tuo processore per tuo conto". Ancora una volta, pensa in termini di carta.

  • Is there a mandatory disclosure to anyone?

Non sei tenuto a rivelare il fatto che hai determinato di avere vulnerabilità. È necessario per divulgare qualsiasi violazione ritenuta dei dati dei clienti, anche se non si detengono i dati dei clienti, ad esempio se la linea di supporto inizia a ricevere un volume di reclami drasticamente aumentato dai clienti che dicono " Ho comprato qualcosa sul tuo sito e il giorno dopo ho iniziato a comparire sulla mia carta addebiti fraudolenti! "

Ricorda che anche il tuo processore e i marchi delle carte eseguono analisi statistiche, e sono altrettanto propensi a informarti che hai avuto un problema mentre devi avvisarli. Che porta a:

  • An obligation in terms of delay for remediation?

Se vieni violato e nelle indagini successive diventa chiaro che la tua incapacità di individuare e correggere tempestivamente i tuoi problemi di sicurezza è stato un fattore determinante, quindi qualsiasi ammenda o sanzione che affronti potrebbe essere peggiorata. Quindi è assolutamente nel tuo migliore interesse trattare in modo diligente questi problemi e mantenere un chiaro lasso di tempo.

Consideralo come una questione legale di due diligence; di nuovo, come SAQ Un mercante non sei soggetto a parti del DSS che potrebbero tracciare linee intorno a questo, ma sei sicuro di aver lasciato la borsa se c'è una breccia.

    
risposta data 02.12.2016 - 16:36
fonte

Leggi altre domande sui tag