Le workstation degli utenti verranno considerate parte del CDE di PCI-DSS quando raccolgono i dati dei titolari di carta utilizzando un portale sicuro

3

Supponendo di avere un ufficio pieno di operatori di call center, che a volte aggiornano i dettagli dei pagamenti dei clienti per riceverli al telefono e poi li inseriscono in un'applicazione web sicura, che memorizza i dati in modo sicuro nel CDE "reale". I dati non vengono mai memorizzati sul PC dell'operatore del call center, né vengono trasmessi in modo non criptato.

Per titolo, questo significa che tali workstation rientrano nell'ambito del CDE secondo la definizione PCI-DSS?

MODIFICA: chiarimento, l'applicazione Web è un'applicazione interna. Non è esposto su reti pubbliche o aperte.

    
posta Nemec 12.12.2016 - 23:12
fonte

4 risposte

1

, quelle macchine sarebbero nel CDE; tuttavia, con una segmentazione appropriata, verrebbero affrontati dal SAQ C-VT . I commercianti che rientrano nel questionario SAQ ("Questionario di autovalutazione") C-VT ("Terminale virtuale") sono soggetti a un numero ridotto di requisiti PCI DSS, a causa del loro ambito limitato.

SAQ C-VT has been developed to address requirements applicable to merchants who process cardholder data only via isolated virtual payment terminals on a personal computer connected to the Internet.

A virtual payment terminal is web-browser-based access to an acquirer, processor, or third-party service provider website to authorize payment card transactions, where the merchant manually enters payment card data via a securely connected web browser.

e

SAQ C-VT merchants process cardholder data only via a virtual payment terminal and do not store cardholder data on any computer system. These virtual terminals are connected to the Internet to access a third party that hosts the virtual terminal payment-processing function. This third party may be a processor, acquirer, or other third-party service provider who stores, processes, and/or transmits cardholder data to authorize and/or settle merchants’ virtual terminal payment transactions.

("C" in "C-VT" non ha alcun significato semantico, i SAQ sono A / B / C / D in crescente ampiezza di requisiti.D è essenzialmente il DSS completo; A è un semplice punteggio di singoli elementi; C in mezzo.)

    
risposta data 13.12.2016 - 04:26
fonte
2

L'intera workstation e in effetti l'intero call center e forse l'intera rete potrebbero essere inclusi nell'ambito di PCI DSS.

Non è necessario un keylogger, un pezzo di carta e una matita per mettere a rischio l'operatore. Poi c'è la telefonia per l'operatore, le patch necessarie per mantenere la sicurezza generale della workstation.

Esistono soluzioni commerciali là fuori che mitigano il rischio e riducono lo sforzo di conformità attraverso il proxy di tutte le chiamate o altrimenti il routing attraverso un centro di telefonia sicuro.

    
risposta data 13.12.2016 - 01:37
fonte
0

Potresti considerare questo 2 modi che sospetto.

In primo luogo, supponendo che il sito web sia sicuro, come suggerito, con l'SSL appropriato configurato e utilizza la corretta funzionalità di gestione degli account, si afferma che la trasmissione dei dati della carta è crittografata tra il browser sorgente e il server quindi non sono necessarie ulteriori indagini sul PC degli utenti.

D'altra parte, se l'utente ha un keylogger sul proprio PC, allora tutte le altre misure di sicurezza potrebbero essere compromesse.

Sotto il primo presupposto, se si disponesse di un front-end che consentisse ai clienti di aggiornare i dettagli della propria carta di credito su disco, sarebbe necessario includere tutti i PC client nel CDE. Naturalmente, ci si aspetterebbe che un accesso ai client abbia accesso solo ai propri dati, non a tutti i dati.

Direi che no, non fa parte del CDE.

    
risposta data 13.12.2016 - 01:06
fonte
0

le workstation sono nel campo di applicazione a meno che non hai implementato una sorta di soluzione iframe per farle uscire.

in qualsiasi modo il comune ha fornito un supplemento in questo numero al seguente link: link

    
risposta data 13.12.2016 - 06:45
fonte

Leggi altre domande sui tag