Chiamata che registra problemi PCI-DSS

Naviga le tue risposte
2

Per un sistema di immissione con carta di pagamento non automatizzato, se un chiamante fornisce i dati della carta di pagamento tramite telefono a un dipendente del call center che conferma il numero al chiamante, significa che l'organizzazione è conforme DSS non PCI?

Sistema automatico di inserimento delle carte di pagamento che di solito include la registrazione delle chiamate e il mascheramento del bit in cui il chiamante dice il numero. Supponendo che questo soddisfi la conformità PCI-DSS, c'è un modo in cui un utente malintenzionato può rubare i dati della carta di pagamento?

    
posta max 31.03.2016 - 17:24
fonte

1 risposta

3

I lettori potrebbero voler vedere prima questa domanda , in quanto è una presentazione più semplice. Oppure vai al sorgente, che è il PCI SSC Supplemento delle informazioni: Protezione dei dati delle carte di pagamento basati sul telefono

For a non-automated payment card entry system, if a caller is providing a payment card details over the phone to a call centre employee who confirms the number to the caller, does that mean the organisation is non-PCI DSS compliant?

Se la chiamata è registrata, ecco i requisiti di conformità PCI DSS:

  • La registrazione deve essere "crittografata con crittografia avanzata, o altrimenti resa inutilizzabile". Quindi il numero della carta - il PAN - può essere registrato, ma la registrazione deve essere crittografata.
  • Alcune parti della chiamata, tuttavia, potrebbero non essere registrate: è "proibito utilizzare qualsiasi forma di registrazione audio digitale (utilizzando formati come WAV, MP3, ecc.) per memorizzare i codici CAV2, CVC2, CVV2 o CID dopo l'autorizzazione. "

Se la chiamata non viene registrata, allora PCI DSS non si applica (alla chiamata - se il dipendente del call center umano sta digitando il numero della carta che sente in un computer, il DSS inizia ad applicarsi lì).

Automated payment card entry system that typically include call recording and masking the bit where the caller says the number. Assuming this satisfies the PCI-DSS compliance, is there a way an attacker can steal the payment card data?

Se la porzione PAN della registrazione è archiviata crittografata, un utente malintenzionato dovrebbe compromettere tale controllo della crittografia. Questo non è certamente impossibile, ma rappresenta una barriera significativa che deve essere superata.

Se la porzione PAN della registrazione è mascherata, potrebbe essere impossibile scendere a compromessi.

Se sei conforme PCI, il CVV non è sulla registrazione, il che sarebbe impossibile da compromettere.

Per tutti questi scenari , il dipendente del call center inserirà i dati della carta in un sistema per l'elaborazione. A parità di tutto il resto, l'attaccante si concentrerà sull'elaborazione della catena, non sul fine chiamata - la voce è analogica e disordinata, ma i sistemi di elaborazione sono succosi e digitali. Ed è qui che entra in gioco il resto del DSS ...

    
risposta data 31.03.2016 - 18:37
fonte

Leggi altre domande sui tag

Consigli Gestione delle chiavi e archiviazione nello storage cloud OAuth2 JWT Crittografia per token con ambiti a più server di risorse