dati sensibili memorizzati temporaneamente, quindi redatti: PCI conforme?

Question

dati sensibili memorizzati temporaneamente, quindi redatti: PCI conforme?

#1 da (2 voti)

1

Sono in una startup in cui abbiamo il supporto per le chat. Gli agenti chattano con i clienti e i dati sensibili possono essere trasmessi durante la finestra della sessione di chat. Archiviamo questi dati sensibili nel nostro database per la durata della sessione.

Una volta chiusa la sessione di chat (dall'agente o dal cliente), eseguiamo la correzione dei dati riservati.

Quindi, diciamo che un cliente condivide il numero CC # durante la chat.

Nel nostro DB, memorizzeremmo 1111 2222 3333 4444 mentre la sessione di chat è aperta.

Una volta terminata la sessione di chat, i dati CC memorizzati diventano <num> <num> <num> <num>

È sufficiente per la conformità PCI e / o la protezione dei dati sensibili?

pci-dss sensitive-data-exposure

posta Growler 26.04.2017 - 19:44

fonte

1 risposta

Leggi altre domande sui tag pci-dss sensitive-data-exposure

Attacchi con intestazione host: possibili exploit Come funziona questa intestazione con CloudFlare? [chiuso]

score 2 · Answer 1

La semplice risposta è no - che molto probabilmente non sarebbe un reclamo con i requisiti in PCI DSS. Scusate.

È possibile ottenere due tipi di dati della carta di pagamento, i numeri cc a 15/16 cifre (PCI chiama questi PAN) e CCV2 dal retro della scheda (Questa è una forma di dati sensibili di autenticazione o SAD).

Non è possibile memorizzare PAN in testo in chiaro in un database (ad esempio su storage non volatile) - non è conforme a Requisito 3.4 - Render PAN illeggibile ovunque sia memorizzato (anche su portatile supporti digitali, supporti di backup e registri) utilizzando uno dei seguenti approcci ...

Naturalmente, si potrebbe avere un lungo dibattito su "memorizzato" e su quanti secondi qualcosa è sul disco prima che sia "archiviato", ma la maggior parte dei valutatori equiparerebbe qualsiasi memoria su disco come archiviata (e anche controlla i file di registro). NB: se il DB è in RAM, non viene memorizzato.

Inoltre, la ricezione di PAN tramite "chat" può essere problematica. Se la chat è un'app Web su TLS, allora va bene. Se è simile a IRC o Skype, allora hai un problema con Requisito 4.2 - Non inviare mai PAN non protetti dalle tecnologie di messaggistica degli utenti finali (ad esempio, e-mail, messaggistica istantanea, SMS, chat , ecc.). .

Spero che questo sia utile.