Requisiti PCI-DSS per la sicurezza a livello di applicazione?

Question

Requisiti PCI-DSS per la sicurezza a livello di applicazione?

#1 da (2 voti)

0

Prima di arrivare alla mia attuale azienda, abbiamo ottenuto i servizi di consulente PCI che ci ha fornito consigli molto specifici, se non discutibili, sui requisiti di crittografia.

Il particolare consiglio di cui sospetto è quello di assicurarsi che i dati dei titolari di carta siano crittografati come avviene nella nostra rete interna (distaccata). Il metodo di crittografia, ci è stato detto, deve essere a livello di applicazione e il livello di trasporto non è consentito. Quindi, semplicemente usando HTTPS per spostare un file, dobbiamo crittografare il file usando PGP prima di inviarlo, quindi decrittografarlo dopo che è arrivato.

Semplicemente non riesco a vedere nella documentazione dove questo è un requisito. Qualcun altro ha mai detto la stessa cosa? C'è una precedenza per questo?

Il documento che stiamo utilizzando è Specifiche logiche di produzione delle carte di maggio 2013

pci-dss

posta lipidfish 07.04.2014 - 17:02

fonte

1 risposta

Leggi altre domande sui tag pci-dss

Crittografia di file in .NET? Esiste un modo per impedire al software di accedere agli ID hardware?

score 2 · Accepted Answer

I consigli forniti dal consulente PCI non corrispondono ai requisiti PCI. Chiedete loro una citazione che "Crittografia a livello di applicazione" sia richiesta attraverso la rete. Qualsiasi consulente PCI deve almeno dirti quali requisiti DSS stanno citando. "Immagini o non è successo ..."

La sezione 4.1 del PCI DSS richiede di crittografare su non attendibile reti; se la tua rete interna è adeguatamente protetta secondo la Sezione 1, allora hai il permesso di trasmettere dati PAN non crittografati *. E il livello di trasporto è esplicitamente elencato come protezione appropriata:

Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.

Quando si memorizzano i dati PAN, è necessario proteggerli, che nel caso della sezione di crittografia 3.4 afferma che è necessario utilizzare:

Strong cryptography with associated key-management processes and procedures

Quale può essere il punto in cui il tuo consulente ha in mente "Crittografia a livello di applicazione", ma è su disco, non sul filo.

* Nota, anche se puoi andare senza crittografia sul back-end, probabilmente non dovresti. Tra le altre cose, DSS 8.4 richiede che le credenziali vengano crittografate durante la trasmissione e se invii i dati PAN in chiaro probabilmente stai inviando credenziali in chiaro.