Conformità PCI DSS per un'organizzazione di livello 4

0

Siamo una piccola azienda e gestiamo meno di 500 transazioni con carta di credito ogni anno, pertanto ricadiamo nei commercianti di livello 4. I responsabili dell'azienda vogliono assicurarsi che siamo conformi PCI a tutti i livelli. Vedo che stiamo memorizzando i dati della carta di credito in uno dei nostri database, ma il numero PAN è crittografato usando l'enciclopedia RC2 quando è stato inizialmente sviluppato anni fa. Sento ancora che la crittografia RC2 è vulnerabile agli attacchi anche se utilizziamo la connessione SSL per trasmettere i dati.

Ho alcune cose nella mia mente come segue.

  1. Tokenizzazione
  2. Rimozione dei dati della carta dal nostro database e trasmissione dei dettagli al gateway di pagamento.
  3. Secure Key Storage per i dati della carta crittografata.

Ho controllato con il business e hanno detto che l'opzione 2 per rimuovere i dati delle carte va bene in quanto non è necessario memorizzare i dati, ma dal momento che ci sono alcune transazioni ricorrenti, la mia domanda sarà interessata se l'archiviazione dei dati delle carte è rimosso ??

Se scelgo l'opzione 3 di proteggere le chiavi utilizzate per decrittografare i dati, vedo che ci sono molte procedure da seguire per implementare un sistema di gestione delle chiavi commerciale, ecc.

Puoi suggerire per favore quale sia il modo migliore per aggirare questo problema ed essere conforme.

    
posta Sammy 23.11.2014 - 13:08
fonte

1 risposta

4

La soluzione migliore è utilizzare un servizio di gestione dei pagamenti commerciali che si occupi di tutto ciò per te. Per quel volume di transazioni, il pericolo di avere i dati delle carte memorizzati su prem-out pesa il tuo bisogno di dati.

Se si tratta di un'attività di vendita al dettaglio, suggerirei qualcosa di simile al quadrato, che essenzialmente metterebbe il trattamento responsabile dei dati nel loro tribunale e le loro tariffe sono molto amichevoli per il mondo delle piccole imprese rispetto ad altre opzioni.

    
risposta data 23.11.2014 - 18:55
fonte

Leggi altre domande sui tag