Requisito di registrazione in PCI DSS per applicazione interna

Question

Requisito di registrazione in PCI DSS per applicazione interna

#1 da (3 voti)

0

Recentemente abbiamo avuto una valutazione PCI Gap, e il revisore ha chiesto di mostrare il registro dell'applicazione, ma avevamo un log di applicazione molto semplice che memorizza solo eventi ed eventuali eccezioni. Ma l'auditor ci ha detto che la richiesta di transazione & il registro delle risposte deve essere memorizzato, ora possiamo farlo ma, a tal fine, memorizzeremo i dettagli della carta (che sono criptati) che vogliamo evitare, poiché non vogliamo memorizzare alcun dettaglio della carta. Quindi, cosa voglio sapere che è richiesto dal PCI che dobbiamo archiviare il corpo del messaggio della richiesta, anche se contiene i dettagli della carta criptata?

Scusa se ho posto questa domanda in un posto sbagliato, ma non conoscevo nessun altro posto per fare questa domanda, grazie.

pci-dss

posta Prashant 25.08.2018 - 09:36

fonte

1 risposta

Leggi altre domande sui tag pci-dss

Perché adclick.g.doubleclick.net ascolta su tutte le porte [chiuso] / percorso cron trovato durante il test del sito

score 3 · Accepted Answer

[is it] required by the PCI that we must store the request post body, even if it contains encrypted card details?

No, non esiste alcun requisito PCI DSS per l'archiviazione del corpo POST della richiesta in entrata. Infatti, mentre c'è un'intera sezione del DSS (§10) dedicata alla registrazione, si occupa di registrazione del sistema e di sicurezza, non di registrazione transazionale.

La registrazione transazionale è menzionata in gran parte nel §3, principalmente per vietare la memorizzazione di dati sensibili non crittografati (traccia, CVV, PIN, ...) nei registri delle transazioni.

Penso che il vostro revisore abbia ragionevolmente sul fatto che avete bisogno di una registrazione transazionale, ma che non deve necessariamente includere dati grezzi di richiesta o di risposta. Dovresti registrare cose come il tempo, l'origine, la ricerca della transazione interna e la risposta (come in "successo" o "fallimento", non il corpo della risposta).

Questi tipi di log supportano normali processi di business come "Ehi, IP 1.2.3.4 ha inviato una transazione fraudolenta alle 12:34:56, dimmi quante transazioni hanno fatto quel giorno e se hanno avuto successo o meno".