bhtloan, hai colpito un paio di quelle aree in cui i materiali PCI sono vaghi e / o ambigui. (Spesso deliberatamente vago e ambiguo: il consulente di pagamento è tanto un'istituzione politica quanto qualsiasi altro che assume argomenti di grande importanza per milioni di persone e entità, molte delle quali con interessi diversi e spesso in conflitto). Ti limiterò a leggere dove penso che l'opinione della massa degli interpreti di conformità PCI sia (per la domanda "archiviazione") e dove i punti di orientamento (per la domanda "e-commerce".)
-In quale "memoria" significa, penso che sia giusto dire che in generale la linea pratica è disegnata qui: questa informazione è interamente contenuta nella RAM rispetto a quella che è mai stata scritta su un'unità (o altro supporto di memorizzazione non volatile) ). Ora, in termini di applicazione di queste idee, la maggior parte dei casi è in realtà abbastanza chiara. Se le informazioni della carta di credito sono conservate nella RAM di una macchina POS per un secondo per crittografarlo e indirizzarlo e quindi inviato per la sua strada, quel caso è (quasi) universalmente tenuto non per costituire storage. All'altro estremo dello spettro, se i dati dei titolari di carta vengono scritti su un disco per mantenere se un cliente desidera acquistare qualcosa da te in un determinato momento nel futuro indefinito, lo scenario sarebbe (quasi) universalmente essere considerato come storage, in modo tale che i dati debbano essere crittografati e tu hai bisogno di SAQ D. L'intermediario è dove le cose possono diventare un po 'più difficili ...
In termini pratici, direi che in quasi tutti gli scenari in cui i dati dei titolari di carta sono scritti su un mezzo non volatile - come un disco rigido, un SSD o un nastro magico - piuttosto che RAM Consiglio a un cliente che è stata loro la responsabilità di crittografare. Semplicemente perché anche se potrebbe essere il tuo intento di eliminare rapidamente dette informazioni (in pochi minuti o ore, diciamo), fisicamente può persistere per un tempo molto più lungo se si trascura di fare ciò che si intende. Al contrario, il contenuto della RAM svanisce rapidamente ogni volta che una macchina viene riavviata o spenta, e quindi - in teoria - le informazioni scritte semplicemente nella RAM danno a un utente malintenzionato una finestra molto più breve per rubarla. Pertanto, viene considerato al di fuori dello scopo politico di non disporre di informazioni chiare vulnerabili ai furti per un lungo periodo di tempo. (Ahimè, come abbiamo visto con le interminabili violazioni dei dati dei principali rivenditori negli ultimi anni anche quella breve finestra è ancora troppo lunga per impedire al malware di afferrare i dati dei titolari di carta.) Ora se si persegue in modo specifico una politica di riavvio e accensione disattivare i server il più raramente possibile in modo che i dati siano nella RAM il più a lungo possibile, a quel punto lo stai "memorizzando"? Possibilmente. Ma penso che la validità della regola generale / s sia.
Per riassumere l'argomento dello storage: scopri se in qualsiasi punto del processo i dati dei titolari di carta entrano nel tuo sistema fino al punto in cui lascia i tuoi sistemi scritti, beh, storage . Se rimane interamente nella RAM e viene scartato in pochi secondi, alcuni minuti, anche poche ore è molto probabile per SAQ C. Se è scritto sullo storage, è probabile che tu debba seguire le regole sulla crittografia o sulla tokenizzazione e andare con SAQ D. Anche se lo si scrive in memoria per alcuni scopi oltre a utilizzarlo per future autorizzazioni e si dispone di un meccanismo software altamente affidabile che assicura che venga cancellato in secondi, minuti o ore ... beh, vorrei seguire gli standard di crittografia / tokenizzazione e usare SAQ D per essere sicuri. Ma potrebbe esserci qualche dissenso tra gli interpreti PCI riguardo al fatto se tu o no ti sei davvero impegnato nello storage.
- Ora, sul "punto e-commerce", questo è in realtà un po 'più chiaro. Non perché il testo delle regole / linee guida SAQ sia chiaro. (Una parte dice che i "canali di e-commerce" non possono usare SAQ C, ma un'altra parte appena sopra quella specifica che "l'e-commerce .... commercianti" può usarlo. Huh ??.) Tuttavia, mentre text è stranamente scritto c'è chart nella stessa guida ciò sembra non essere ambiguo. Il grafico si trova a pagina 18 del pdf, ma lascia che esploda la parte rilevante:
Pensocheilflussodelle"Transazioni di commercio elettronico" sia piuttosto decisivo: SAQ D è l'unica strada che hai. Quindi, a prescindere da come si presenta il problema di archiviazione, la risposta sembra certamente essere SAQ D. Per me, comunque. (Disclaimer standard: ricorda, per quanto ne sai io sono solo un ragazzo su Internet ...)
Quanto sopra detto, il tuo QSA è il ragazzo o la ragazza che ha familiarità diretta con la tua situazione, qualificato per consigliarti su PCI e professionalmente responsabile di farlo. In caso di dubbio, affidati al suo consiglio. (Che è anche che dovresti usare SAQ D, comunque.)
Spera che questo aiuti. Cin cin.