Una tokenizzazione della carta di credito deterministica è conforme a pci-dss?

2

Ho esaminato un paio di applicazioni di e-commerce che utilizzano lo stesso processore di pagamento. In entrambi i casi, i commercianti memorizzano i token della carta di credito generati dal processore di pagamento, al fine di offrire una funzione "ricorda questa carta di credito".

Durante la revisione ho notato che lo stesso token è generato per entrambi i commercianti per lo stesso numero di carta di credito di prova. Quindi sembra che la generazione di token sia deterministica tra diversi commercianti. Per me quella sarebbe una bandiera rossa, poiché significa che le pedine stesse hanno lo stesso valore dei numeri delle carte di credito, cioè se vengono rubate da un database di mercanti possono essere riutilizzate con altri mercanti.

Tale schema di generazione di token deterministico è conforme allo standard pci? Ho letto le Linee guida per la tokenizzazione ma non ho trovato alcuna frase da vietare o scoraggiare esplicitamente.

    
posta Andrei Socaciu 25.04.2017 - 16:19
fonte

1 risposta

2

Sicuramente penso che sia una violazione borderline delle linee guida di tokenizzazione. Dalla sezione Panoramica di Tokenizzazione nel documento che hai collegato:

For a token to be considered non-sensitive, and thus not require any security or protection, the token must have no value to an attacker.

Un utente malintenzionato potrebbe utilizzare il token di un commerciante con un altro, ma potrebbero esserci altre convalide nel sistema del processore che impediscono il riutilizzo attraverso i commercianti. Ad esempio, un database specifico del commerciante che contiene una lista bianca di token autorizzati per quel commerciante.

Senza capire di più sull'intero sistema, non penso che sia una violazione esplicita degli standard PCI-DSS, ma alza decisamente le sopracciglia.

    
risposta data 25.04.2017 - 16:43
fonte

Leggi altre domande sui tag