Card Presenti i requisiti PCI

Naviga le tue risposte
1

Usiamo un lettore di schede IDTECH per iPhone che non è crittografato, la nostra applicazione è basata sul Web e viene eseguita all'interno di un'app iOS per estrarre i dati dalla scheda. Stiamo quindi utilizzando una libreria di crittografia lato client per crittografare i dati della carta prima che vada al gateway. Non archiviamo i dati delle carte nel nostro database e i nostri server sono conformi PCI DSS. Vogliamo utilizzare l'MSR non crittografato in modo da poter scansionare anche la licenza del driver. Questo metodo sarà conforme a PCI 3.0?

    
posta FROE 25.06.2015 - 19:18
fonte

1 risposta

1

In poche parole, no.

In sostanza, qualsiasi dispositivo di input fisico che "riceve" dati chiari (ad esempio, tramite immissione di dati - digitazione, scorrimento o altri metodi) deve apparire nell'elenco di certificazione "PTS" PCI.

In teoria (e in modo molto conciso), questo certifica che il dispositivo utilizza forme approvate di crittografia, gestione delle chiavi, ecc., emette solo dati crittografati in modo sicuro ed è a prova di manomissione (al punto che qualsiasi manomissione distrugge le chiavi crittografiche .)

Fondamentalmente, l'uso di un dispositivo non certificato per l'input nega tutto. In teoria potrebbe essere possibile ottenere un "controllo compensativo" intorno a ciò, ma come questione pratica, ciò NON accadrà. La cosa migliore è ottenere un dispositivo approvato come dispositivo di input (ad esempio, Magtech ha una linea di dispositivi che funzionano con dispositivi IOS.)

Cerca l'elenco PTS PCI come punto di partenza o contatta il tuo istituto finanziario come guida.)

    
risposta data 25.06.2015 - 21:42
fonte

Leggi altre domande sui tag

Log di sicurezza della banda larga domestica Qual è la struttura delle firme nel messaggio di scambio chiavi del server TLS?