Crittografia dei dati PCI e ambito PCI-DSS

1

Ho letto un'altra domanda che mi ha fatto pensare ...

Se crittografate i dati PCI (numeri di carte di credito, ecc.) utilizzando PGP o AES e li inviamo tramite un firewall, il firewall è di pertinenza?

In alternativa, che cosa succede se si utilizza un meccanismo di sicurezza data-in-motion come SSH o TLS, lo stesso firewall potrebbe essere dentro o fuori portata?

Forse posso aggiungere più contesto.

Certo, il nostro firewall "Area PCI" è nel campo di applicazione, ma cosa succede se un firewall separa due Intranet diverse e i dati PCI crittografati (utilizzando uno dei due metodi) lo attraversano per raggiungere un altro server. Ad esempio, passa attraverso il firewall "Area PCI" e il firewall "Intranet 2" per entrare in Intranet 2.

PCI afferma che tutto ciò che "memorizza, inoltra o elabora" i dati della carta di credito dovrebbe essere incluso. Il firewall Intranet 2 li fa? Instrada / inoltra definitivamente il flusso di dati, elabora i pacchetti e memorizza alcune informazioni nei suoi registri, ma non sono sicuro che qualcuno di questi sia effettivamente ambito PCI perché le informazioni sono crittografate. In realtà non gestisce alcun dato PCI crudo, ma gestisce le informazioni crittografate.

Si potrebbe argomentare che la crittografia è reversibile, e quindi potrebbe essere ancora PCI, ma non sono chiaro dove si collochi dal punto di vista di una QSA.

Sono propenso a considerare tutte le reti come PCI e a stratificare su meccanismi di sicurezza aggiuntivi come ritengo opportuno, tuttavia sto cercando di capire le priorità che dovrebbero essere le aziende che devono essere conformi PCI.

    
posta JZeolla 06.12.2013 - 23:01
fonte

3 risposte

4

Oh. Secondo il tuo aggiornamento ...

No. I firewall non collegati al CDE non sono di applicazione semplicemente perché i dati PAN crittografati li transitano. Se così fosse, l'intera fottutissima Internet sarebbe nel campo di applicazione.

Parte del fatto che è conforme allo standard PCI implica la mappatura dei dati dei titolari di carta e della topologia della rete. Il firewall più vicino al tuo CDE è in ambito e, se il valutatore determina che fornisce controlli appropriati, rimuove i dispositivi esterni dall'ambito. Puoi rivedere Segmentazione di rete alle pagine 10-11 di PCI DSS 2.0 e Appendice D.

Devi anche vedere come si insinua il cannocchiale - potresti voler dare un'occhiata a Open PCI DSS Scoping Toolkit , che non è ufficiale ma che riflette il modo in cui molti QSA cercano di risolvere questo problema. Quindi, se il tuo secondo firewall vede solo i dati PAN crittografati, non è nel campo di applicazione, ma cosa succede se protegge il tuo controller di dominio di Windows Active Directory e l'ambiente CDE utilizza le credenziali di AD? Forse questo mette AD in ambito. Forse questo mette i firewall che proteggono i server AD in ambito. Può essere complicato, e può variare a seconda del QSA, e da quello che ho sentito l'infezione dell'ambito sta per peggiorare con DSS 3.0.

Vecchia risposta (aggiornamento pre-domanda):

Sì, lo è. L'intero requisito PCI DSS 1 ( Installa e gestisce una configurazione firewall per proteggere i dati dei titolari di carta ) serve per assicurarti di avere un firewall di fronte all'ambiente dei dati dei titolari di carta per proteggerlo e assicurarti è configurato e gestito correttamente.

La crittografia dei dati PCI per inviarli tramite il firewall è Requisito 4 ( Criptare la trasmissione dei dati dei titolari di carta su reti pubbliche aperte ). È un requisito di base, non qualcosa che devi provare per rimuovere i firewall dall'ambito di applicazione.

La crittografia protegge dati . I firewall proteggono i server e reti . PCI DSS richiede l'implementazione di entrambi .

    
risposta data 07.12.2013 - 16:32
fonte
2

Il firewall non è nel campo di applicazione solo perché sta trasmettendo dati di titolari di carta crittografati - altrimenti, ogni router su Internet sarebbe incluso nella portata quando si inserisce il proprio numero di carta su PayPal. Il firewall è in ambito quando protegge una rete che contiene macchine che gestiscono dati di titolari di carta non crittografati.

Quindi le tue due domande sono davvero la stessa domanda. Se il firewall protegge una macchina che crittografa i dati dei titolari di carta, indipendentemente dal fatto che utilizzi RSA / AES o TLS, è nel campo di applicazione.

È comune utilizzare più firewall per limitare l'ambito PCI. Ecco un esempio. Diciamo che sei un rivenditore che ha un quartier generale con molti dipendenti e gestisci diversi negozi. Ogni negozio ha una rete con diverse macchine, tra cui chioschi dei clienti, un PC manager, una stampante, alcuni registratori di cassa e ogni registratore di cassa ha un PIN pad che esegue la crittografia. Utilizzi un'azienda di terze parti per fungere da processore di pagamento. Per ciascuna transazione di credito / debito, i pad PIN inviano i dati di pagamento crittografati al processore. E nessuno dei tuoi sistemi HQ ottiene mai i dati dei titolari di carta - ricevono solo i record di pagamento.

Quasi sicuramente hai un firewall di frontiera che isola la tua rete aziendale da Internet. Se quello fosse il tuo unico firewall, allora tutte le macchine della tua azienda sarebbero in ambito PCI! Inoltre, pensa a quei chioschi. Se qualche hacker irrompe nel tuo chiosco, vuoi che sia in grado di connettersi ai tuoi registratori di cassa?

Quindi, per ridurre l'ambito (e aumentare la sicurezza) in ogni negozio, si imposta una sottorete contenente solo i registratori di cassa e si posiziona un firewall su quella sottorete per isolarlo dal resto delle macchine del negozio. Il tuo ambito PCI ora può essere limitato solo a quelle sottoreti e ai firewall che li proteggono. Il firewall di confine, anche se ovviamente è una buona idea per proteggere la tua azienda, tecnicamente cade al di fuori dell'ambito PCI insieme al resto delle tue macchine HQ.

    
risposta data 07.12.2013 - 17:37
fonte
0

Il PCI SSC ha un Domande frequenti su l'ambito dei dati dei titolari di carta crittografati:

It is possible that encrypted data may potentially be out of scope for a particular entity if, and only if, it is validated (for example, by a QSA or ISA) that the entity in possession of the encrypted data does not have access to the cleartext cardholder data or the encryption process, nor do they have the ability to decrypt the encrypted data. This means the entity does not have cryptographic keys anywhere in their environment, and that none of the entity’s systems, processes or personnel have access to the environment where cryptographic keys are located, nor do they have the ability to retrieve them.

Non sono un QSA, ma l'ho sempre interpretato in quanto, con una corretta segmentazione, il sistema può essere desquadrato.

    
risposta data 26.07.2016 - 13:53
fonte

Leggi altre domande sui tag