Is the OMS system and its network in PCI scope because it is reaching
out directly (no proxies) to the processor's APIs?
No, non è nella portata. Il processore utilizzerà una combinazione di firewall di rete, firewall di sicurezza delle applicazioni e API con restrizioni per fornire una segmentazione tra la loro rete con ambito PCI e tu, il consumatore dei loro servizi. La segmentazione è ciò che limita la diffusione dello scope PCI.
Ovviamente, supponiamo che il processore sia conforme PCI ... Pagina 12 e sezione 12.8 di PCI DSS 3.1 stabilisce che sei responsabile della verifica della conformità dei fornitori che elaborano per tuo conto:
A service provider or merchant may use a third-party service provider
to store, process, or transmit cardholder data on their behalf, or to
manage components such as routers, firewalls, databases, physical
security, and/or servers. If so, there may be an impact on the
security of the cardholder data environment.
...
Additionally, merchants and service providers must manage and monitor
the PCI DSS compliance of all associated third-party service providers
with access to cardholder data. Refer to Requirement 12.8 in this
document for details.
Convalida del processore - In generale, il flusso in PCI è la documentazione verso l'alto, la certificazione verso il basso. Supponendo che il tuo processore sia un fornitore di servizi di livello 1 *, devono essere elencati alla lista dei fornitori di servizi Visa o elenco dei fornitori di servizi conformi a MasterCard . Guardare al fornitore su è il metodo preferito di convalidare la loro conformità, come va all'autorità centrale controllata che fa gli aggiornamenti tempestivi (ad esempio, la revoca). Vi forniranno anche una copia del loro AoC su richiesta, che è un breve documento del revisore che dice "Siamo venuti, abbiamo verificato, li abbiamo trovati conformi (e quella scoperta è solo punto nel tempo!)". Nessun dettaglio in AoC.
In effetti non mai condividono il loro RoC con te - non sono obbligati a farlo e contengono informazioni che non vogliono divulgare. Credo di aver visto le scansioni ASV condivise con un commerciante su base eccezionale, ma non è certo una pratica normale, e mi aspetto che molti processori rifiutino di farlo in circostanze normali.
D'altra parte, tutto ciò che il commerciante ha - ROC / SAQ, scansioni ASV, AOC - deve essere reso disponibile al processore (e alla banca acquirente, e ai marchi delle carte ...) su richiesta. È una relazione asimmetrica.
Se leggi le sottosezioni del 18.2, vedrai che in pratica dice "Devi sapere chi hai una relazione con, quale PCI- i dati relativi vengono scambiati nella relazione e verificare che la loro convalida sia aggiornata. " Non ci si aspetta (... o permesso ...) di vedere i dati utilizzati per concludere che sono convalidati.
Quindi, tornando alla domanda specifica, non ci si aspetta che tu riceva dati dal tuo processore, il che dimostra che la loro configurazione limita correttamente l'ambito PCI. Il fatto che siano stati convalidati (da un audit, per il Livello 1) è la prova che contengono correttamente il flusso dei dati dei titolari di carta.
(In realtà, è più sfumato di così: possono avere due offerte di servizi - una che usa la tokenizzazione e altre magie per limitare il raggio d'azione, e un'altra in cui trasmetti e memorizzi CHD da soli. modo conforme ... è tua responsabilità conoscere la differenza: se scegli l'offerta in cui vedi il CHD, è il tuo SAQ o RoC che deve riflettere questo fatto. usando la tokenizzazione ma usi l'altra offerta, sei fuori conformità Il tuo auditor o chiunque legge il tuo QAQ, in parte, rivedrà le tue affermazioni e chiederà prove, mostrandogli che hai token, mostragli che non hai carte).
. * Un fornitore di servizi di livello 2 può SAQ e pertanto non essere elencato. Non ho idea di come dimostrino la loro conformità ai commercianti, a meno che non condividano il loro QAQ, anche se solo al proprio auditor. I QSA con cui ho parlato tendono a licenziare i fornitori di servizi di livello 2 e sono sicuro che essere in una relazione con uno potrebbe aprire la tua organizzazione a un controllo più approfondito rispetto a quello che potrebbe essere altrimenti.