IANAQSA, e molto di questo ha più a che fare con gli obblighi contrattuali di marca delle carte mercantili rispetto al DSS per sé , quindi c'è più "penso" che "so" del solito qui:
Suppose we have an e-commerce website where payment is done via
redirection to a payment provider, with no processing / storage of
cardholder data at our site (I'll update if needed with exact PCI
merchant category, but I understand that it's the lowest one, all
cardholder data is handled by the payment provider).
Sembra che tu sia un commerciante soggetto a SAQ A . Ciò limita l'estensione dello standard PCI DSS a cui è richiesto di aderire. Particolarmente rilevante per le tue domande, non sei soggetto ai requisiti di patching trovati in DSS 6 o all'analisi del registro di DSS 10.
Uno dei problemi di SAQ A ( IMHO! ) è che tutte le protezioni su cui fa affidamento sono banalmente sovvertite da un attaccante che è in grado di avvelenare il tuo sito, ma SAQ A non è soggetto per i requisiti particolari (come 6 e 10) che potrebbero aiutare a proteggere il tuo sito contro quel vettore. Siate attentamente consapevoli del fatto che quando non siete ritenuti responsabili delle protezioni, rimarrete comunque titolari della responsabilità in seguito.
(Ad esempio, richiedendo semplicemente File Integrity Monitoring (FIM) come da DSS 11.5 su SAQ Le pagine di un commerciante che indirizzano i clienti all'iframe o al javascript del processore rappresenterebbero un enorme aumento di sicurezza.Ci sono centinaia di utenti Magento che l'ho imparato nell'ultimo mese o due.)
- Is there a requirement for conducting investigation to identify whether these vulnerabilities have been exploited?
No, ma se hai motivo di credere che siano stati sfruttati, hai obblighi come commerciante di investigare sulla potenziale carta violazione (ad esempio, pensa in termini di carta / transazione, non termini di computer forensics). Poiché dichiari di "non avere capacità interne per l'indagine forense, la revisione dei log o qualsiasi altra attività di rilevamento", se si determina una violazione qualsiasi indagine tecnica conseguente comporterebbe l'assunzione di una società esterna (si è contrattualmente convenuto di farlo già, se stai accettando pagamenti con carta).
Quando dico "qualsiasi motivo per credere che siano stati sfruttati", intendo "qualsiasi indicazione di aumento delle frodi relative alle carte che i tuoi clienti hanno affidato al tuo processore per tuo conto". Ancora una volta, pensa in termini di carta.
- Is there a mandatory disclosure to anyone?
Non sei tenuto a rivelare il fatto che hai determinato di avere vulnerabilità. È necessario per divulgare qualsiasi violazione ritenuta dei dati dei clienti, anche se non si detengono i dati dei clienti, ad esempio se la linea di supporto inizia a ricevere un volume di reclami drasticamente aumentato dai clienti che dicono " Ho comprato qualcosa sul tuo sito e il giorno dopo ho iniziato a comparire sulla mia carta addebiti fraudolenti! "
Ricorda che anche il tuo processore e i marchi delle carte eseguono analisi statistiche, e sono altrettanto propensi a informarti che hai avuto un problema mentre devi avvisarli. Che porta a:
- An obligation in terms of delay for remediation?
Se vieni violato e nelle indagini successive diventa chiaro che la tua incapacità di individuare e correggere tempestivamente i tuoi problemi di sicurezza è stato un fattore determinante, quindi qualsiasi ammenda o sanzione che affronti potrebbe essere peggiorata. Quindi è assolutamente nel tuo migliore interesse trattare in modo diligente questi problemi e mantenere un chiaro lasso di tempo.
Consideralo come una questione legale di due diligence; di nuovo, come SAQ Un mercante non sei soggetto a parti del DSS che potrebbero tracciare linee intorno a questo, ma sei sicuro di aver lasciato la borsa se c'è una breccia.