Definizione PCI di "negozio"

3

Nei requisiti PCI DSS 3.1, il termine "store" è usato spesso. Ad esempio, il requisito 3.2 dice "Non memorizzare dati sensibili di autenticazione dopo l'autorizzazione (anche se crittografati) ..." Questo significa che i dati sensibili di autenticazione possono essere tenuti in memoria e persino trasmessi tra sistemi dopo un'autorizzazione o l'uso della memoria (RAM ) considerato spazio di archiviazione?

    
posta Mark E 18.02.2016 - 18:29
fonte

1 risposta

4

IANAQSA

Nel PCI DSS, "store" significa fondamentalmente "conservare una copia di, al di fuori di quelle copie che sono necessarie per la catena di elaborazione effettiva". Non è tanto il metodo di "archiviazione" come l'intento.

Quindi il SAD può essere tenuto in memoria, scritto in un database, o anche salvato in un file come componente necessario per l'elaborazione. I file di elaborazione batch sono l'esempio più ovvio di questo. Ho sentito che i QSA descrivono il periodo accettabile per questo stato di elaborazione-archiviazione come "ore, non più di 24"; ecco un snippet di Braintree che afferma che potrebbe essere attivo di oggi. Dovresti discutere della tua situazione con il tuo QSA; sono gli unici il cui parere conta.

Allo stesso modo, se si tiene il SAD in memoria dopo che non è più necessario per l'elaborazione, si sta violando la clausola "non memorizzare". È possibile, ipoteticamente, impostare una coppia di programmi per eseguire il ping-pong dei dati SAD attraverso la rete in modo che vengano sempre trasmessi; se non hai avuto bisogno di quei dati per un passaggio di elaborazione, lo stai ancora "archiviando" quando non dovresti esserlo.

    
risposta data 18.02.2016 - 18:58
fonte

Leggi altre domande sui tag