Perché ci sono domande sui "media" in un SAQ A PCI-DSS?

3

Il SAQ A PCI-DSS viene utilizzato nel caso in cui tutti i pagamenti vengano esternalizzati a un fornitore esterno (condizioni applicabili).

Ciononostante, sezione 9 del questionario riguarda i "media" (se sono fisicamente sicuro, se la loro mossa segue politiche, ecc.)

di quali media specifici stanno parlando ? Tutte le operazioni di pagamento sono esternalizzate, quindi perché chiedere informazioni sui "media"? (Non sto chiedendo la natura dei media (deve essere carta per requisiti) ma il possibile contenuto )

    
posta WoJ 21.10.2015 - 09:09
fonte

2 risposte

3

Any entity should also protect paper documents that contain cardholder data in accordance with PCI DSS requirements 9.6 through 9.10. For example, requirement 9.6 states "Physically secure all paper and electronic media (including computers, electronic media, networking and communications hardware, telecommunication lines, paper receipts, paper reports, and faxes) that contain cardholder data."

Che cosa sono i dati dei titolari di carta?

Cardholder data (CD) is any personally identifiable information (PII) associated with a person who has a credit or debit card

Quindi cos'è PII?

Personally identifiable information (PII) is any data that could potentially identify a specific individual. Any information that can be used to distinguish one person from another and can be used for de-anonymizing anonymous data can be considered PII.

Considera di ricevere le ricevute con le informazioni del cliente su di esso come indirizzi, nomi o altre informazioni personali. Questo è il contenuto che stanno valutando.

    
risposta data 21.10.2015 - 09:42
fonte
1

La risposta breve alla tua domanda: in SAQ-A "media" si riferisce esclusivamente a documentazione cartacea contenente i dati di titolari di carta. Sapere che hai menzionato nella tua domanda che ti interessava il contenuto delle informazioni sensibili che un commerciante può memorizzare e non la natura fisica dei media che lo contengono, ma in questo caso si deve considerare entrambi gli elementi nel pensare a cosa "media" si riferisce realmente sotto SAC-A.

La risposta leggermente più lunga:

Iniziamo con quale sia il testo della prima domanda in SAQ-A (a pagina 4 del documento). Nel valutare la conformità con le protezioni di archiviazione delle informazioni della scheda Requisito 9.5 PCI, il documento chiede:

Are all media physically secured (including but not limited to computers, removable electronic media, paper receipts, paper reports, and faxes)?

For purposes of Requirement 9, “media” refers to all paper and electronic media containing cardholder data.

Ora per qualsiasi persona ragionevole, quella definizione rapida significa, beh, praticamente esattamente quello che dice: "media" è usato in un senso molto ampio del termine. Significato di qualsiasi oggetto fisico (o almeno di qualsiasi oggetto fisico separato o separabile da un computer, probabilmente) che memorizza o contiene informazioni sulla carta di pagamento, se le informazioni esistono su carta, in formato elettronico su un disco o unità, o in qualche altro tipo di medio. Quindi, il testo della definizione che otteniamo nelle domande effettive del SAQ crea una rete molto ampia.

Ma ecco la cosa: per scopi pratici nel trattare con SAQ-A, la reale , pratica definizione di "media" per un commerciante è in realtà molto più stretta.

La confusione proviene da una fonte molto comprensibile: nonostante la precedente definizione di "media" a cui si fa riferimento nella domanda / ss relativa al Requisito 9.5, le regole di ambito che determinano quali tipi di commercianti sono qualificati per l'uso il SAQ-A dice direttamente che un commerciante SAQ-A normalmente non dovrebbe avere le informazioni della carta di pagamento memorizzate su alcun "supporto". L'unica categoria possibile di eccezioni? L'hai detto: documentazione cartacea. Oppure con le parole esatte della lista di controllo "Parte 2g - Ammissibilità per completare SAQ A" nel documento SAQ-A (pagina 3):

Merchant retains only paper reports or receipts with cardholder data, and these documents are not received electronically.

Bottom line: Sì, come usato in SAQ-A "media" si riferisce solo a "report cartacei o ricevute". Nonostante la definizione confusa e molto più ampia fa riferimento anche * allo stesso SAQ. (E, FYI, i commercianti che fanno hanno supporti non cartacei con i dati delle carte di pagamento che fluttuano nelle loro operazioni hanno bisogno di dare un'altra occhiata alle regole su chi si qualifica per archiviare sotto SAQ-A. )

Lo so, è abbastanza da farci impazzire. Il meraviglioso mondo del PCI. :)

Modifica: l'elenco di controllo completo dell'ambito SAQ-A:

    
risposta data 21.10.2015 - 18:56
fonte

Leggi altre domande sui tag