La memorizzazione temporanea di un file non crittografato contenente alcuni PAN viola i requisiti pci? (ad esempio perché viene elaborato da un'applicazione o per aprirlo su un editor di file)
Sì, si tratta di una violazione dei requisiti PCI-DSS , in particolare del requisito 3.4:
Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
- One-way hashes based on strong cryptography (hash must be of the entire PAN)
- Truncation (hashing cannot be used to replace the truncated segment of PAN)
- Index tokens and pads (pads must be securely stored)
- Strong cryptography with associated key-management processes and procedures
Sì, non è possibile scrivere PAN non crittografato. Se qualcuno potrebbe forzare un crash mentre viene lavorato su quel file, lo lascerebbe seduto sul server perché chiunque potesse accedervi e il file potrebbe potenzialmente essere letto da altri processi.
Non esiste un file "temporaneo". Ci sono solo file permanenti di cui intendi sbarazzarti presto.
Inoltre, perché è necessario aprirlo in un editor di file per cominciare? Sembra che stia chiedendo un intero set di problemi PCI da solo.
Leggi altre domande sui tag encryption credit-card pci-dss