È richiesto HTTPS per la conformità PCI quando si scaricano patch software desktop, se non viene trasmessa alcuna informazione personale e il contenuto è firmato digitalmente + verificato?

2

Abbiamo un'app desktop che scarica il contenuto delle patch tramite HTTP. Il contenuto è firmato digitalmente e verificato dal software client dopo il download.

È richiesto HTTPS per ottenere la conformità PCI se:

  1. Nessuna PII viene trasmessa
  2. Le firme digitali vengono utilizzate per firmare e verificare

Se è richiesto HTTPS, c'è una regola specifica o una sezione in una specifica che impone questo requisito?

Inoltre, in tal caso, esiste un altro modo per ottenere la conformità PCI senza utilizzare HTTPS (più costoso)?

È gradita qualsiasi guida.

    
posta Daniel 11.03.2015 - 07:18
fonte

2 risposte

1

La verifica delle firme ti consente di ottenere due delle tre principali funzioni di sicurezza che HTTPS fornisce: integrità e autenticità . Si può sostenere a questo proposito che non c'è un requisito rigoroso per la terza, riservatezza - sebbene la conoscenza di patch specifiche potrebbe portare alla divulgazione di informazioni che potrebbero essere utili a un attacker, CWE-200 .

Se questo è consentito attraverso un firewall che deve soddisfare PCI DSS, l'uso di un protocollo non sicuro deve essere documentato (PCI-DSS v3.0):

1.1.6 Documentation and business justification for use of all services, protocols, and ports allowed, including documentation of security features implemented for those protocols considered to be insecure.

La risposta è no, HTTPS non è richiesto per questo scopo. Tuttavia, il processo dovrebbe essere documentato e, se necessario, qualsiasi procedura manuale come il mantenimento dei certificati, notando anche che §6.2 richiede la patch e che §6.4.5 e subordinati richiedono processi di controllo delle modifiche per l'applicazione delle patch.

Ulteriori misure di mitigazione che potrebbero essere raccomandate sono

  • blocca la regola del firewall HTTP in uscita su destinazioni limitate, se necessario (consegna anche se i CDN lo rendono in gran parte inutile)
  • blocca la regola del firewall in base al tempo o abilita / disabilita manualmente
  • usa invece un proxy HTTP in una zona di rete diversa, oltre alla registrazione controllabile e agli obiettivi futuri per DLP , questo rimuove la necessità di HTTP e DNS in uscita sui client
risposta data 11.03.2015 - 14:34
fonte
1

Per quanto ne so, https non è richiesto se i dati della carta non sono presenti.

Grazie

    
risposta data 11.03.2015 - 09:46
fonte

Leggi altre domande sui tag