un'unica soluzione di architettura sicura per meno di 4 minacce

1

Un sito di e-commerce utilizza lo stack LAMP ospitato su un singolo server montato su rack situato in un centro dati. In ogni transazione, le informazioni della carta di credito vengono archiviate nel database MySQL presso il centro dati.

A fini contabili, i record delle transazioni (incluse le informazioni sulla carta di credito) vengono trasmessi in formati standard non criptati, come file CSV o XML, al server di contabilità. A intervalli regolari, un processo batch sul server LAMP estrae nuove transazioni dal database MySQL e li invia tramite FTP al server di contabilità.

Una volta eseguita la contabilità, i record delle transazioni vengono immediatamente crittografati e archiviati in un database su un server.

La società di e-commerce ha identificato diverse minacce che desidera proteggere dai numeri delle carte di credito e queste minacce sono:

  • Amministratore del database: un dipendente della società con accesso autorizzato al database può accedere e inserire i dati della carta di credito
  • Centro dati: un dipendente del data center può estrarre il server dal rack e portarlo con tutti i dati della carta di credito
  • Internet attacker - Un utente malintenzionato potrebbe potenzialmente irrompere nel sistema e rubare le informazioni della carta di credito dal database
  • Internet attacker - La comunicazione dei dati della transazione dal server di e-commerce al server di contabilità potrebbe essere intercettata da un utente malintenzionato

Che cos'è una singola soluzione di architettura sicura che fornisce nuovamente protezione per i numeri delle carte di credito tutte e 4 le minacce menzionate sopra? La sicurezza fisica è fuori dall'ambito e mi rendo conto che ci sono molte altre potenziali minacce, ma in questo scenario, solo 4 minacce precedenti.

Mi è venuta in mente una tecnica di crittografia che può essere eseguita durante la trasmissione o la memorizzazione dei dati Non sono sicuro che sia la risposta più appropriata o convincente per questa domanda.

    
posta Learning Security 01.02.2017 - 19:17
fonte

2 risposte

1

Il modo più semplice, economico e sicuro per gestire i dati delle carte di credito e mantenere la conformità PCI per le piccole imprese non è quello di gestire i dati delle carte di credito. Utilizza un fornitore di servizi di pagamento di terze parti come Paypal, Stripe, Google Wallet, eWAY, Braintree, ecc. In modo da non dover gestire la protezione dei dati della carta di credito. Molti di questi processori di pagamento hanno anche funzionalità per le transazioni preautorizzate per future transazioni e abbonamenti.

    
risposta data 02.02.2017 - 03:02
fonte
0

Piuttosto che un cambio di architettura, considera un cambiamento del processo aziendale tentando di giustificare la necessità di memorizzare i numeri delle carte di credito.

    
risposta data 02.02.2017 - 02:28
fonte

Leggi altre domande sui tag