Devo essere conforme PCI?

2

Abbiamo un sistema interno e sto cercando di determinare se il sistema è in ambito ai fini della conformità PCI-DSS.

Il sistema è completamente interno, nessun accesso pubblico. Il sistema contiene le informazioni dell'utente che includono un numero di conto. È possibile che questo numero di conto sia un PAN di una carta di credito, anche se non sappiamo realmente se lo è o non lo è. Il sistema non elabora o accetta pagamenti.

È sufficiente per rendere questo sistema in ambito PCI?

    
posta Ian 29.08.2013 - 10:44
fonte

3 risposte

3

Il tuo sistema memorizza , trasmetti , elabora i dati del titolare della carta insieme al numero PAN?

Se rispondi affermativamente ad almeno una istruzione, il tuo sistema è in ambito e dovrà essere conforme allo standard PCI.

It is possible that this account number might be an PAN from a credit card

Non ti sembra chiaro quale sia il numero di questo account, ma se ti aiuta a capire l'ambito della conformità:

  • se ogni numero di account è un PAN completo, il sistema è in ambito.
  • se il numero di conto di 1/100 è un PAN completo, allora il sistema è in ambito.
  • se il numero di conto 1/1000 è un PAN completo, il sistema è in ambito.
  • se 1 / n numero account è un PAN completo, allora il tuo sistema è in ambito.

  • se nessun numero di account è un PAN completo, allora il tuo sistema è fuori ambito

  • se il PAN contiene solo un sottoinsieme del numero completo della carta, come gli ultimi quattro o i primi sei e gli ultimi quattro, il tuo sistema è fuori ambito.

Tieni presente che le affermazioni sopra riportate si applicano ai numeri del tuo account (potrebbe essere un PAN) che vengono memorizzati, trasmessi o elaborati dal tuo sistema.

Anche se non elabori o esegui il pagamento e il tuo store PAN per qualsiasi scopo (numero di conto) il tuo sistema sarà incluso.

    
risposta data 29.08.2013 - 16:04
fonte
0

Citando da PCI-DSS Requisiti e procedure di valutazione della sicurezza versione 2.0 (pagina 5):

PCI DSS applies to all entities involved in payment card processing – including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data.

D'altra parte, sembra che tu abbia un numero di conto che può essere o meno una carta di credito PAN e il tuo sistema non elabora i pagamenti. Considerato questo, direi che non è necessario essere conformi allo standard PCI.

    
risposta data 29.08.2013 - 12:35
fonte
-1

Pensaci in questo modo:

  1. La riservatezza dei dati dell'utente sarà compromessa se il sistema viene violato?
  2. Anche se il sistema non è accessibile dall'esterno, esistono altre minacce interne come l'accesso non autorizzato e le vulnerabilità del software?
  3. Fa parte del sistema che deve essere conforme allo standard PCI-DSS?

Se la tua risposta è sì per uno dei precedenti, fa parte dell'ambito.

    
risposta data 29.08.2013 - 11:42
fonte

Leggi altre domande sui tag