Sto studiando la possibilità di implementare i server KEK e DEK conformi ai requisiti PCI-DSS.
Linee guida per la tokenizzazione PCI: "La soluzione di tokenizzazione dovrebbe includere un meccanismo per distinguere tra token e PAN effettivi."
Il documento non specifica per quale tipo di token il requisito di cui sopra è rilevante. Ho ragione a pensare che NON è rilevante per i token basati su funzioni crittografiche matematicamente reversibili?
Grazie
Am I right thinking that it is NOT relevant for the tokens based on mathematically reversible cryptographic functions?
Hai ragione. Ma potresti non voler farlo in quel modo.
I token sono generalmente isomorfi ai numeri delle carte (15-16 cifre numeriche) perché dovrebbero essere in grado di sostituire facilmente i numeri delle carte con qualsiasi software utilizzato dal destinatario.
Se hai per utilizzare token che non assomigliano a numeri di carte, allora hai "fornito un meccanismo per distinguere tra token e PAN effettivi". 4111111111111111 è distinguibile da 057c331e-f538-11e4-b9b2-1697f925ec7b .
Tuttavia, i token vengono generalmente generati da un marchio di processore o di carta e consegnati a un commerciante per l'uso al posto dei numeri delle carte, in genere utilizzando interfacce programmatiche progettate e specificate per comunicare numeri di 15-16 cifre. Il commerciante probabilmente ha già un software, con un database e una logica di applicazione e tutto, che è stato progettato per memorizzare i numeri delle carte. Quando tokenize, devono iniziare a memorizzare token invece di numeri di carte. Se i token sembrano abbastanza come i numeri delle carte, di solito è un semplice switch non-disruptive. Per "distinguere [tra questi isomopici] token e PAN effettivi", potrebbero usare numeri IIN / BIN non validi, fallire il controllo dell'algoritmo Luhn, ecc. Ecc.
Hai ragione. Tuttavia, i token matematicamente reversibili (ovvero i dati crittografati) hanno una riduzione molto più piccola dell'ambito di conformità PCI rispetto a un token generato casualmente. Inoltre, se si è impostato sul percorso matematicamente reversibile, è possibile utilizzare anche la crittografia di conservazione del formato (FPE). FPE produce testi cifrati che possono avere la stessa lunghezza e formato (cifre, caratteri alfanumerici, ASCII ...) come testo in chiaro.
Il modo di eseguire la tokenizzazione tradizionale, a volta, per la riduzione dell'ambito PCI è generare token casuali e assegnarli a PAN. Il "mapping" è il database che può dirvi quale token casuale va con quale PAN (in realtà un PAN criptato per una buona misura). Questo database è in genere un ambiente molto sicuro e separato, denominato "token vault".
Leggi altre domande sui tag encryption key-management pci-dss