PCI-DSS 3 SAQ - incerto di livello

2

Stiamo discutendo internamente su quale SAQ dobbiamo compilare per PCI - il nostro questionario QSA dice D (e io sono tendenzialmente d'accordo) ma il direttore della compagnia dice che SAQ C legge le linee guida.

Il modo in cui elabiamo i dati della carta è:

  • Siamo un'azienda di abbonamento B2B Saas - non vendiamo "beni" ma gli utenti si iscrivono per utilizzare il nostro servizio ogni mese
  • Abbiamo un modulo web ospitato sul nostro server
  • L'utente immette i dettagli del pagamento e invia il modulo
  • I dati vengono pubblicati sul nostro server
  • Trasmettiamo quindi in modo sicuro tali dati a un'API ospitata dal nostro processore dei pagamenti
  • In realtà non "memorizziamo" i dati della carta

L'ultimo punto è dove si trova la confusione - mentre noi non archiviamo i dati come li inseriamo in un database e così i dati effettivamente risiedono sui nostri server (in memoria ad esempio) come viene pubblicato dal modulo .

Quella classe come "memorizzazione" di dati (nel qual caso siamo SAQ-D) o è quella che trasmette (quindi siamo SAQ-C)?

Il punto cruciale di questo sembra scendere alla definizione di "memorizzazione dei dati" e non riesco a trovare una risposta definitiva!

    
posta bhttoan 05.10.2015 - 16:41
fonte

4 risposte

1

bhtloan, hai colpito un paio di quelle aree in cui i materiali PCI sono vaghi e / o ambigui. (Spesso deliberatamente vago e ambiguo: il consulente di pagamento è tanto un'istituzione politica quanto qualsiasi altro che assume argomenti di grande importanza per milioni di persone e entità, molte delle quali con interessi diversi e spesso in conflitto). Ti limiterò a leggere dove penso che l'opinione della massa degli interpreti di conformità PCI sia (per la domanda "archiviazione") e dove i punti di orientamento (per la domanda "e-commerce".)

-In quale "memoria" significa, penso che sia giusto dire che in generale la linea pratica è disegnata qui: questa informazione è interamente contenuta nella RAM rispetto a quella che è mai stata scritta su un'unità (o altro supporto di memorizzazione non volatile) ). Ora, in termini di applicazione di queste idee, la maggior parte dei casi è in realtà abbastanza chiara. Se le informazioni della carta di credito sono conservate nella RAM di una macchina POS per un secondo per crittografarlo e indirizzarlo e quindi inviato per la sua strada, quel caso è (quasi) universalmente tenuto non per costituire storage. All'altro estremo dello spettro, se i dati dei titolari di carta vengono scritti su un disco per mantenere se un cliente desidera acquistare qualcosa da te in un determinato momento nel futuro indefinito, lo scenario sarebbe (quasi) universalmente essere considerato come storage, in modo tale che i dati debbano essere crittografati e tu hai bisogno di SAQ D. L'intermediario è dove le cose possono diventare un po 'più difficili ...

In termini pratici, direi che in quasi tutti gli scenari in cui i dati dei titolari di carta sono scritti su un mezzo non volatile - come un disco rigido, un SSD o un nastro magico - piuttosto che RAM Consiglio a un cliente che è stata loro la responsabilità di crittografare. Semplicemente perché anche se potrebbe essere il tuo intento di eliminare rapidamente dette informazioni (in pochi minuti o ore, diciamo), fisicamente può persistere per un tempo molto più lungo se si trascura di fare ciò che si intende. Al contrario, il contenuto della RAM svanisce rapidamente ogni volta che una macchina viene riavviata o spenta, e quindi - in teoria - le informazioni scritte semplicemente nella RAM danno a un utente malintenzionato una finestra molto più breve per rubarla. Pertanto, viene considerato al di fuori dello scopo politico di non disporre di informazioni chiare vulnerabili ai furti per un lungo periodo di tempo. (Ahimè, come abbiamo visto con le interminabili violazioni dei dati dei principali rivenditori negli ultimi anni anche quella breve finestra è ancora troppo lunga per impedire al malware di afferrare i dati dei titolari di carta.) Ora se si persegue in modo specifico una politica di riavvio e accensione disattivare i server il più raramente possibile in modo che i dati siano nella RAM il più a lungo possibile, a quel punto lo stai "memorizzando"? Possibilmente. Ma penso che la validità della regola generale / s sia.

Per riassumere l'argomento dello storage: scopri se in qualsiasi punto del processo i dati dei titolari di carta entrano nel tuo sistema fino al punto in cui lascia i tuoi sistemi scritti, beh, storage . Se rimane interamente nella RAM e viene scartato in pochi secondi, alcuni minuti, anche poche ore è molto probabile per SAQ C. Se è scritto sullo storage, è probabile che tu debba seguire le regole sulla crittografia o sulla tokenizzazione e andare con SAQ D. Anche se lo si scrive in memoria per alcuni scopi oltre a utilizzarlo per future autorizzazioni e si dispone di un meccanismo software altamente affidabile che assicura che venga cancellato in secondi, minuti o ore ... beh, vorrei seguire gli standard di crittografia / tokenizzazione e usare SAQ D per essere sicuri. Ma potrebbe esserci qualche dissenso tra gli interpreti PCI riguardo al fatto se tu o no ti sei davvero impegnato nello storage.

- Ora, sul "punto e-commerce", questo è in realtà un po 'più chiaro. Non perché il testo delle regole / linee guida SAQ sia chiaro. (Una parte dice che i "canali di e-commerce" non possono usare SAQ C, ma un'altra parte appena sopra quella specifica che "l'e-commerce .... commercianti" può usarlo. Huh ??.) Tuttavia, mentre text è stranamente scritto c'è chart nella stessa guida ciò sembra non essere ambiguo. Il grafico si trova a pagina 18 del pdf, ma lascia che esploda la parte rilevante:

Pensocheilflussodelle"Transazioni di commercio elettronico" sia piuttosto decisivo: SAQ D è l'unica strada che hai. Quindi, a prescindere da come si presenta il problema di archiviazione, la risposta sembra certamente essere SAQ D. Per me, comunque. (Disclaimer standard: ricorda, per quanto ne sai io sono solo un ragazzo su Internet ...)

Quanto sopra detto, il tuo QSA è il ragazzo o la ragazza che ha familiarità diretta con la tua situazione, qualificato per consigliarti su PCI e professionalmente responsabile di farlo. In caso di dubbio, affidati al suo consiglio. (Che è anche che dovresti usare SAQ D, comunque.)

Spera che questo aiuti. Cin cin.

    
risposta data 05.10.2015 - 21:15
fonte
1

Se sei un e-commerce e i dati della carta dell'utente toccano il tuo server (in memoria o su disco), allora sei SAQ-D.

Puoi ridurre il tuo ambito a SAQ-A-EP se il modulo di pagamento sul tuo sito fa un post direttamente all'API del processore di pagamento, ma se i dati della carta toccano il tuo server - anche se non è memorizzato- sei SAQ-D.

Ricorda che se sei al livello 1 o al livello 2 (in base ai numeri di transazione) il tuo QSA dovrà firmarlo e la loro interpretazione è l'unica che conta.

    
risposta data 05.10.2015 - 20:26
fonte
0

Se l'elaborazione dei dati è o meno l'archiviazione è una cosa. Il più importante è che per essere idoneo a SAQ C (tutta l'enfasi sotto la mia)

Merchants with payment application systems connected to the Internet, no electronic cardholder data storage. Not applicable to e-commerce channels.

e-commerce è incline all'interpretazione, per quello che vale Wikipedia lo definisce come

E-commerce (...) is trading in products or services using computer networks, such as the Internet.

Poiché tu dici che "non vendiamo" beni "ma gli utenti sottoscrivono l'uso del nostro servizio ogni mese" , presumo che tu non cada in SAQ C, e quindi è necessario valutare SAQ D.

    
risposta data 05.10.2015 - 17:49
fonte
0

Parla con il tuo acquirente. Possiedono la relazione con te e sono responsabili per la tua conformità PCI (obbligatoria come tale dai marchi delle carte). Il tuo gestore dell'account dovrebbe essere in grado di dirti quale sarà accettabile come una presentazione SAQ se non sei sicuro (è responsabilità di te dirlo!).

    
risposta data 26.10.2015 - 15:33
fonte

Leggi altre domande sui tag