Definizione PCI di "Trasmissione"

1

Sto lavorando in un'azienda che è conforme allo standard PCI, ma credo che abbiano interpretato erroneamente alcuni dei requisiti. Per questo motivo stanno lavorando per creare soluzioni che non sono necessarie.

In particolare, mi sto interrogando sulla definizione di "Trasmissione", nel contesto del requisito PCI 4.2 b "Tutti i dati segreti e riservati devono essere criptati in ogni momento durante la trasmissione e l'archiviazione".

La società ha preso questo per indicare che ogni volta che un file viene copiato ENTRO IL NETWORK INTERNO, ciò costituisce una trasmissione e, per questo motivo, il file deve prima essere crittografato.

Credo, tuttavia, che la trasmissione sembri implicare il trasferimento attraverso Internet, dove ovviamente bisognerebbe averlo crittografato.

Qualcuno può aiutarti a risolvere l'argomento?

    
posta lipidfish 27.03.2014 - 04:58
fonte

3 risposte

4

Invece di cercare di mettere in riga una linea mal definita, pensa alla tua sicurezza e alla tua responsabilità nei confronti dei tuoi clienti. Se un hacker era nella tua rete, cosa sarebbe successo?

Anche se PCI non lo richiedesse tecnicamente, se questi dati sono nella mia rete, lo richiederei. Detto questo, l'interpretazione del nostro QSA è che deve sempre essere crittografato internamente.

    
risposta data 27.03.2014 - 05:33
fonte
3

La lingua / riepilogo che risponde alla tua domanda è il requisito 4: " Cripta la trasmissione dei dati dei titolari di carta su reti pubbliche aperte "

Ecco un paio di link (con riferimenti aggiuntivi) che forniscono una panoramica dei requisiti. Lascio questo come wiki della comunità nel caso qualcuno possa trovare un link migliore.

Detto questo, le informazioni sensibili devono essere archiviate crittografate indipendentemente dalla posizione, quindi, in generale, dovrebbe essere facile lasciare crittografato all'interno della rete fino a quando tali dati non raggiungono il punto di utilizzo. Inoltre, se la tua azienda utilizza collegamenti di rete dedicati forniti da fornitori esterni, ad esempio collegamenti metropolitani tra edifici, campus, che normalmente consideri la tua rete (e lo è, per la maggior parte delle conversazioni) i dati dovrebbero essere crittografati anche attraverso tali link. Non tecnicamente richiesto, ma se un attacco MITM avviene sul tuo collegamento metro fornito dalla tua telco e i tuoi dati non sono stati crittografati, ciò non finirà per te.

    
risposta data 27.03.2014 - 06:23
fonte
1

Requisiti PCI requisiti 4.2b: "Non inviare mai PAN non protetti dalle tecnologie di messaggistica degli utenti finali (ad esempio, e-mail, messaggistica istantanea, SMS, chat, ecc.)."

La guida per questo requisito descrive: "E-mail, messaggistica istantanea e chat possono essere facilmente intercettate dallo sniffing dei pacchetti durante la consegna attraverso reti pubbliche e interne. Non utilizzare questi strumenti di messaggistica invia PAN a meno che non siano configurati per fornire una crittografia strong "

Questo non significa "Tutti i dati segreti e riservati devono essere crittografati in ogni momento durante la trasmissione e l'archiviazione" come hai scritto ma significa non inviato il numero della carta di credito ( PAN) utilizzando i PAN non protetti dalle tecnologie di messaggistica degli utenti finali.

Ad esempio è possibile inviare tramite e-mail crittografata, ma non con la posta normale \ chat

    
risposta data 24.02.2016 - 08:27
fonte

Leggi altre domande sui tag