PCI DSS 3.0 e card swipe terminali per i nostri commercianti

2

Gestiamo un servizio di software online che raccoglie e trasmette transazioni di carte per piccoli commercianti. Utilizzano terminali di tipo "card swipe" collegati ai PC aziendali che indirizzano il traffico direttamente al nostro portale sicuro tramite HTTPS con autenticazione a due fattori. Questi commercianti sono i nostri clienti e i loro modelli di business e le pratiche sono tanto varie quanto i loro nomi. Non controlliamo ciò che fanno all'interno del loro spazio ufficio. Molti non sono ancora certificati PCI.

Come parte del nostro servizio di registrazione, acquistiamo l'hardware di swipe della scheda per loro dai rivenditori di hardware e facciamo distribuire i distributori direttamente ai nostri clienti. Nel corso degli anni abbiamo raccomandato 3 diversi modelli Magtek: Imagesafe, MICRImage e Dynamag Magnesafe. Questi componenti non entrano mai nei nostri locali fisici. Sono acquistati da noi e spediti direttamente al cliente. Non li modifichiamo e non li possediamo.

Quindi, sono tenuto a seguirli come parte del nostro inventario hardware sotto PCI DSS 3.0? Se è così, so che avrei bisogno di hardware e numeri di serie, politiche e procedure per indurire ciascuno di essi, e un modo per testare e tracciare ciascuno di essi. Sto parlando di migliaia di piccoli commercianti, e il pensiero mi fa star male.

La mia speranza è che, poiché non ero il distributore, posso semplicemente inviare a ciascun commerciante una serie di istruzioni di indurimento specifiche per il marchio / modello di terminale che hanno e chiedere l'attestazione che hanno implementato tali istruzioni. Sarà sufficiente?

La mia preoccupazione è che, poiché ero l'acquirente, sarò preso all'amo per l'implementazione sicura di questi terminali nell'ambiente di ciascun commerciante.

Che ne pensi?

    
posta Skelter 09.06.2015 - 03:25
fonte

2 risposte

1

Innanzitutto, è bello che tu stia effettivamente prendendo sul serio le regole di conformità PCI. (No, non è uno scherzo o un tentativo di succhiare, è solo la mia esperienza con i commercianti e le altre entità coperte dai requisiti PCI, che se riesci a farli preoccupare abbastanza della conformità PCI, portarli a un posto "nel campo da baseball" di rispettare le regole che si applicano a loro, hai ottenuto una bella vittoria. Ti impegni a superare lo standard per perseguire l'effettiva conformità.)

In secondo luogo, per riassumere ciò che penso la risposta alla tua domanda è: i requisiti aggiuntivi molto probabilmente non si applicano a te nella tua situazione mentre la descrivi. Offro quella vista a causa della / o secondo la verità di alcuni punti che sto deducendo dall'affermazione della tua domanda. Tra questi:

  1. Suppongo che fino a questo punto sei abituato a fare il tuo materiale PCI esclusivamente all'interno delle regole PA-DSS (ad esempio per gli sviluppatori di applicazioni di pagamento), e sei sicuro che non rientri nel regole per i processori di pagamento.

  2. Suppongo anche che tu non fornisca eventuali "applicazioni di pagamento residenti" esistenti sui terminali hardware utilizzati dai commercianti che servi. Questa è un'ipotesi chiave, come stabilito nella versione 3.1 delle regole PA-DSS; se hai fornito il codice di richiesta di pagamento che si trova sui terminali del tuo commerciante, probabilmente si applicheranno una serie di requisiti aggiuntivi rispetto a quello che stai facendo ora. Tuttavia, la cosa buona è che se si creasse effettivamente un codice di pagamento on-terminal come parte delle proprie soluzioni, ovviamente lo saprebbe.

  3. Dalla tua dichiarazione, sembra che tu non abbia assolutamente alcun ruolo riguardo i terminali di pagamento, tranne che tecnicamente li paghi da Magtek (o da altri produttori). Non hai alcun ruolo nella configurazione dei terminali per accettare pagamenti; i tuoi commercianti parlano direttamente al processore di pagamento per registrare le loro apparecchiature, le loro chiavi di crittografia, ecc. E, per essere al 100%, non sei mai in possesso fisico dei terminali (ad esempio spediscono direttamente da Magtek o da un altro produttore ai tuoi commercianti) .

  4. Infine, presumo che almeno una considerevole minoranza dei tuoi commercianti non usi la crittografia end-to-end / P2PP / swipe-to-payment-processor . Questo, ovviamente, renderebbe molto più semplice il tuo mal di testa PCI. (Non avendo i numeri delle carte non cifrati e i dati di tracciamento toccano i tuoi servizi o il tuo software sempre.) E le informazioni sulle carte di pagamento delle persone che fanno acquisti presso i tuoi commercianti sono molto più sicure. E mentre i tuoi commercianti procedono a passare a lettori di schede che possono gestire l'uso di chip card, sarebbe un buon momento per incoraggiarli ad assicurarsi che i loro nuovi lettori / terminali siano configurati per crittografare correttamente anche le transazioni con le bande magnetiche. (Un suggerimento gentile.)

Quindi, tutte le condizioni sopra indicate sono vere, a mio parere la vostra situazione, più probabile che no, non richiede di soddisfare i requisiti aggiuntivi che discutete riguardo al monitoraggio della custodia, dello stato e dell'integrità dei terminali. Chiudo rafforzando la parte "a mio avviso" dell'ultima frase: se è una possibilità che tu sia davvero seriamente preoccupato e senti che hai davvero bisogno di una risposta solida e solida su di te, dovresti assolutamente impegnarti e chiedere il consiglio di un'azienda che ha una strong esperienza nella conformità PCI di software di pagamento / assistenza agli sviluppatori. Quindi ... lascia che il mio disclaimer faccia affidamento sull'analisi di cui sopra.

    
risposta data 12.09.2015 - 05:52
fonte
1

Tutti i commercianti alla fine saranno responsabili della propria conformità e ciò dovrebbe essere applicato e monitorato dal loro acquirente. In genere dovranno compilare un questionario di autovalutazione, suppongo che sia SAQ B-IP che include un PED con connettività IP. Quel SAQ include anche i requisiti PCI DSS 9.9 a cui ti stai riferendo. Se non possiedi questi dispositivi e non sei responsabile della loro gestione, è responsabilità degli stessi commercianti aderire a tali requisiti.

Dato che fornisci i dispositivi ai commercianti, puoi fornire indicazioni su come devono gestire tali dispositivi in modo sicuro, mantenere un inventario, identificare se sono stati manomessi o meno, ma non devi farlo .

    
risposta data 09.06.2015 - 18:47
fonte

Leggi altre domande sui tag