Requisiti di conformità PCI durante l'archiviazione dei dati delle carte sul dispositivo dell'utente

Question

Requisiti di conformità PCI durante l'archiviazione dei dati delle carte sul dispositivo dell'utente

#1 da (2 voti)

2

Ho un'applicazione in cui porto l'utente a un gateway di pagamento conforme allo standard PCI per completare il pagamento. Voglio dare la funzionalità di "Ricorda la mia carta" in modo che l'utente non debba inserire nuovamente i dettagli in futuro. Sto pensando di memorizzare i dati della carta sul dispositivo dell'utente stesso (crittografato e non con hash perché avrei bisogno di invertire il numero della carta reale come richiesto dal gateway di pagamento). Il CVV non verrebbe memorizzato.

Memorizza i dati sul dispositivo dell'utente che nella maggior parte dei casi sarebbero utilizzati solo dall'utente, una violazione degli standard di sicurezza accettabili? In caso affermativo, quali sono i requisiti di conformità PCI DSS / PA DSS qui?

storage credit-card pci-dss

posta Rahul Nanwani 08.06.2016 - 16:16

fonte

1 risposta

Leggi altre domande sui tag storage credit-card pci-dss

Come sapere se setroubleshoot è in esecuzione in Centos 7.2 Rete virtuale per l'analisi del malware

score 2 · Answer 1

Le regole PCI-DSS richiedono generalmente che qualsiasi PAN memorizzato sia crittografato in modo tale da non richiedere uno, ma due autenticatori da decrittografare.

In pratica, ciò significherebbe normalmente che anche se si intende che l'utente finale è l'unico con una copia crittografata, ciò sarebbe insufficiente dal punto di vista normativo. "Chi" ha una copia è irrilevante, a questo riguardo. Se la decrittografia può essere eseguita con una singola chiave dal fornitore (cioè, tu), e non puoi affermare che il dispositivo su cui è memorizzato è crittografato (ovvero, un client che risponde con un vero / falso sulla crittografia del filesystem in seguito a una richiesta di transazione non è attualmente una funzionalità di qualsiasi dispositivo mobile di cui sono a conoscenza), quindi non sarà possibile dichiarare i dispositivi dell'utente fuori campo durante un controllo PCI.

Uno scenario potrebbe funzionare: se si dispone di un'applicazione che genera e protegge la propria chiave per l'archiviazione delle informazioni della carta e che quindi può rispondere all'applicazione di pagamento lato server con un token per le carte utilizzate in precedenza in quel sito, allora puoi (probabilmente) soddisfare i requisiti di base. Finché l'applicazione lato server è in grado di archiviare e recuperare in modo soddisfacente il PAN al momento della presentazione di un token di riferimento durante la transazione, stai bene. Tuttavia, anche in quel caso il CVC o CVV deve essere fornito manualmente dall'utente, che non è esplicitamente permesso di essere memorizzato insieme al PAN.

Possibile anche l'archiviazione da parte dell'utente finale della propria carta, ma nessun programma o applicazione può essere autorizzato a richiedere i dati all'utente finale e si aspetta di ricevere la risposta automaticamente, a meno che non si memorizzi una chiave univoca per quel server utente -side per la decrittazione del PAN. Questo è il motivo per cui la strategia attuale prevede che Android e Apple memorizzino i "dettagli della carta" e i campi di compilazione automatica quando riconoscono una richiesta di compilare i dati della transazione. Questo dovrebbe andar bene, ma un auditor pedante potrebbe facilmente chiedere di avere un modo per confermare che il dispositivo dell'utente finale funziona solo con un filesystem crittografato.

Per farla breve: vuoi effettivamente solo una pagina in cui il browser mobile di qualcuno può lavorare con "compilazione automatica" in modo amichevole. Otterrai gli stessi risultati, senza doversi preoccupare dei limiti di archiviazione PCI PAN aggiuntivi.