PCI DSS - Conversazioni telefoniche registrate

Question

PCI DSS - Conversazioni telefoniche registrate

#1 da (3 voti)

1

Sto usando l'immagine seguente da Sicurezza FishNet come una sorta di guida per il diagramma del flusso di dati richiesta da PCI DSS così come definito da:

1.1.3 Current diagram that shows all cardholder data flows across systems and networks

Diciamo oltre a questo diagramma che riceviamo i pagamenti per le chiamate all'interno della sezione storefront dell'immagine e che le chiamate telefoniche sono registrate sia a fini di addestramento che di revisione. Anche se l'audio è crittografato, i dati delle chiamate telefoniche memorizzati sono considerati dati di carte sensibili e pertanto rientrano nel campo di applicazione del diagramma?

encryption credit-card pci-dss phone pci-scope

posta Elias 16.12.2014 - 14:21

fonte

1 risposta

Leggi altre domande sui tag encryption credit-card pci-dss phone pci-scope

Spostamento / avvio su USB e prevenzione dell'avvio da altri dispositivi USB (consentire l'avvio da una sola USB) Perché overflow dell'heap / overflow overflow / overflow dello stack / overflow del buffer si verificano solo negli indirizzi più alti?

score 3 · Accepted Answer

Sì, è nella portata. C'è in realtà una guida abbastanza completa ed esplicita dal PCI Security Standards Council (il personale DSS) alla tua domanda esatta qui:

Supplemento delle informazioni: protezione dei dati delle carte di pagamento basate su telefono

Che rende dichiarazioni ragionevolmente chiare come questa sui numeri delle carte:

Call centers will need to ensure that PAN data is rendered unreadable (for example, encrypted using strong cryptography) when stored.

This is part of PCI DSS Requirement 3.4 and includes ensuring PANs stored within the QA/recording and CRM solutions are encrypted using strong cryptography, or are otherwise rendered unreadable.

e questo su CVV:

It is a violation of PCI DSS Requirement 3.2 to store any sensitive authentication data, including card validation codes and values, after authorization even if encrypted.

It is therefore prohibited to use any form of digital audio recording (using formats such as WAV, MP3, etc.) for storing CAV2, CVC2, CVV2 or CID codes after authorization if that data can be queried; recognizing that multiple tools exist that potentially could query a variety of digital recordings.

... e va in tutti gli altri modi in cui vengono influenzati i call center e le registrazioni (ad es., crittografia di rete, autenticazione e autorizzazione, ecc. ecc.)