Qual è il processo per utilizzare i dispositivi PDI precedentemente installati in una soluzione PCI P2PE?

Question

Qual è il processo per utilizzare i dispositivi PDI precedentemente installati in una soluzione PCI P2PE?

#1 da (1 voti)
#2 da (1 voti)

3

Una domanda per le FAQ " Qual è il processo per utilizzare i dispositivi PDI precedentemente distribuiti in una soluzione PCI P2PE? ".

Nel seguente caso, "ricarica chiavi crittografiche" significa che dovrebbe caricare la nuova chiave master del terminale iniziale del POI per i dispositivi PDI utilizzando tecniche di caricamento delle chiavi asimmetriche o tecniche manuali?

È accettabile sostituire solo TMK esistente con il nuovo TMK utilizzando il meccanismo di scambio di chiavi simmetriche standard per "ricaricare le chiavi crittografiche" nel seguente caso?

Se il fornitore di soluzioni non dispone di prove sufficienti per verificare che i requisiti P2PE applicabili siano stati soddisfatti (come determinato da un valutatore P2PE nel corso di una valutazione P2PE), allora tutto il firmware, le chiavi crittografiche, le configurazioni e il software devono essere ricaricato nei dispositivi POI in conformità con i requisiti P2PE applicabili.

pci-dss

posta Bingnan 05.10.2017 - 09:56

fonte

2 risposte

Leggi altre domande sui tag pci-dss

Password uniche e TOTP 2FA uniche Protezione di un'API con Django Rest Framework

score 1 · Answer 1

Questo può essere complesso e quindi per sicurezza devi chiedere al QSA P2PE. L'obiettivo è garantire l'integrità del POI e delle sue chiavi associate. Se l'aggiornamento della chiave è conforme ai requisiti di gestione delle chiavi di P2PE e l'iniezione iniziale della chiave è stata completata in un ambiente convalidato P2PE in seguito a processi convalidati, generalmente sarà OK, MA perché ogni fornitore di POI e fornitore di soluzioni ha il proprio modo di fare le cose , solo un QPE P2PE che abbia familiarità con la soluzione può darti una risposta definitiva.

score 1 · Answer 2

A meno che la provenienza delle chiavi asimmetriche del dispositivo possa essere verificata per rispettare i requisiti di gestione delle chiavi di Domain 6 e Domain 6 Annex A, il dispositivo dovrebbe essere restituito a un dispositivo di iniezione di chiavi e nuove chiavi iniettate.

Le nuove chiavi da iniettare sarebbero probabilmente nuove chiavi simmetriche per facilitare l'iniezione della chiave remota in futuro. La chiave iniziale per la derivazione di chiavi future per la crittografia PAN può anche essere iniettata nel KIF o successivo attraverso la distribuzione asimmetrica.

A causa di quanto sia oneroso svolgere attività di restituzione di un POI completo per la re-keying, PCI SSC dispone di una valutazione disponibile denominata Valutazione della soluzione di crittografia non elencata. Questo è noto come NESA: per riferimento, vedi link

NESA può consentire la riduzione dell'ambito in un ambiente commerciale anche se non vengono rispettati tutti i requisiti P2PE. Un QSA P2PE deve valutare il rischio in termini di elementi non conformi, ma i domini 5 e 6 devono essere pienamente operativi.