Elenco di controllo conformità PCI

1

Attualmente sto tentando di comprendere la conformità PCI e cosa devo fare affinché la mia attività sia conforme. Vorrei una conferma su ciò che ho trovato finora.

Accetto pagamenti in un'applicazione mobile. Prendiamo i dati di pagamento e li inoltriamo al nostro servizio REST (su HTTPS), quindi tale servizio li trasferisce immediatamente a un gateway di pagamento di terze parti per gestire il pagamento. Riceviamo la conferma e l'app riceve tale conferma. In nessun momento memorizziamo i dettagli del pagamento. La mia azienda accetta poco più di 20.000 pagamenti all'anno.

Quindi, sarei corretto nel dire che:

  • È necessario completare un SAQ-D.
  • Ogni trimestre ho bisogno di ottenere una qualche forma di scansione di rete da un ASV?

Vorrei anche sapere se sono necessari altri passaggi per essere conformi PCI?

Inoltre, se utilizzo l'SDK per dispositivi mobili PayPal, quali (eventuali) ulteriori passaggi dovrei adottare per diventare conforme PCI?

    
posta Seer 06.10.2014 - 13:53
fonte

3 risposte

4

L'applicazione mobile non può attualmente essere convalidata o considerata un'applicazione di pagamento conforme. La guida per la sicurezza e la conformità nelle applicazioni mobili è stata pubblicata dal SSC qui: link

Poiché il tuo ambiente sta ricevendo e trasmettendo i dati dei titolari di carta, hai ragione nella tua asserzione che dovresti completare SAQ-D. SAQ C sarebbe più pertinente se si elaborassero dati in un terminale di pagamento in un ambiente IP. Ci sono molte cose che devi fare per essere conforme oltre alla scansione che hai fatto riferimento sopra. Il seguente non è un elenco completo:

  • Revisioni del set di regole del firewall almeno ogni 6 mesi.
  • Indurimento del server in linea con gli standard del settore (CIS, NIST, SANS)
  • L'antivirus è installato, esegue scansioni pianificate, genera log
  • Sistemi con patch e fino a dati Ciclo di vita dello sviluppo del software: codifica sicura, peer review, separazione degli ambienti di sviluppo, test e produzione e separazione dei compiti tra questi ambienti
  • Modifica del controllo per le modifiche e le distribuzioni del software
  • Controllo degli accessi con autorizzazioni documentate per il controllo dell'accesso basato sui ruoli
  • Autenticazione a due fattori per l'accesso remoto
  • Norme sulla password
  • Sicurezza fisica dell'ambiente in ambito (CCTV, badge, controlli visitatori)
  • Registrazione centralizzata
  • Costante configurazione NTP con peering interno e sorgenti esterne
  • Scansione vulnerabilità interna / esterna trimestrale
  • Test annuale di penetrazione interna / esterna
  • Monitoraggio integrità file IDS / IPS
  • Numerosi documenti e documentazione sulle procedure

Si noti che se i dati di pagamento sono stati trasmessi direttamente dall'applicazione mobile al fornitore di servizi di pagamento di terze parti, i propri sistemi non gestiranno mai i dati dei titolari di carta e PCI sarebbe rilevante solo per la dovuta diligenza eseguita per convalidare la terza parte conforme allo standard PCI e accetta le loro responsabilità.

    
risposta data 06.10.2014 - 15:37
fonte
1

Se sei sicuro non memorizzi mai i dettagli del pagamento, nemmeno in file come swap o core dump, allora penso che SAQ-C sarà sufficiente. Penso che sia quasi certo che dovrai modificare alcuni dei tuoi processi per completare con successo il SAQ; non sarai solo in grado di riempirlo e dire che hai finito.

    
risposta data 06.10.2014 - 14:21
fonte
0

Sono d'accordo con Mike Scott che SAQ-C dovrebbe essere ampio nel tuo caso. SAQ-C richiede la scansione di un ASV.

Fai attenzione a non archiviare i dati di titolari di carta in nessun momento. È importante verificare che tu:

  • cancella i log
  • previene crashdump contenenti i dati dei titolari di carta

Per le applicazioni mobili è necessario assicurarsi di utilizzare tipi di dati non serializzabili. Questo impedisce ai crashlog di contenere dati sensibili. Per Java hai l'esempio del transcient tipo di dati.

Dovresti essere bravo con il resto. Naturalmente puoi sempre migliorare la tua organizzazione della sicurezza oltre PCI-DSS. La conformità consiste nell'ottenere il minimo indispensabile per una determinata situazione, non fa mai male valutare le cose oltre un determinato standard di conformità.

    
risposta data 06.10.2014 - 14:39
fonte

Leggi altre domande sui tag