Visualizzazione sicura dei dati PCI tramite siti di terze parti

Naviga le tue risposte
0

Sto lavorando a un progetto che richiede che i dati protetti da PCI (numeri PIN della carta) siano resi visibili ai clienti, tramite un sito aziendale di terze parti (non conforme allo standard PCI).

La gerarchia è la seguente:

  • Noi > PCI Complaint > Provider di piattaforme
  • Di terze parti > Non PCI Complaint > Il nostro cliente
  • Cliente > Utente della carta > Cliente di terze parti (ma siamo responsabili per i dati finanziari)

Possiamo mostrare il PIN tramite una pagina web (se è servita sotto SSL) ma non possiamo permettere che il PIN venga trasmesso alla Terza Parte in alcun modo nel caso in cui sia memorizzato. Quindi le chiamate REST sono fuori questione, così come gli iframe.

Il processo ideale sarebbe:

  1. Il cliente visita il sito di terze parti e richiede di visualizzare il PIN della carta.
  2. Il PIN viene visualizzato (pubblicato dal nostro sito) su una pagina pubblicata in SSL.

Il processo richiesto per eseguire questa operazione è difficile da capire perché:

  • Abbiamo bisogno che la richiesta PIN [per apparire] venga effettuata dal sito di Terze parti poiché il cliente è "loro", forniamo la piattaforma per le carte.

  • Abbiamo bisogno che venga servito sotto SSL per soddisfare la conformità PCI.

  • Non possiamo servirlo con una chiamata REST alla terza parte.

  • Non possiamo consentire alla terza parte di recuperare questo PIN nel caso in cui sia stato archiviato o che un'app sia stata scritta per eseguire la scansione e recuperare tutti i PIN dei clienti.

  • Abbiamo bisogno che tutto questo sia gestito tramite browser Web e in modo trasparente, in modo che il cliente non debba inserire una password o fornire una chiave di crittografia.

Possiamo mostrare il PIN su una delle nostre pagine senza marchio, ma non riesco a vedere come possiamo trasferire i dati sensibili richiesti (tramite il sito di Terze parti) per creare un'istanza di questa richiesta, senza fornire / lasciare dati sensibili sul sito di Terze Parti. .

Questo non mi sembra possibile - senza che il cliente fornisca una sorta di chiave segreta per recuperare il PIN "direttamente" tramite il Sito di terze parti. Ma volevo chiedere, nel caso qualcuno abbia qualche idea o abbia avuto problemi simili?

Grazie in anticipo!

    
posta Jonny Wilson 05.01.2015 - 12:54
fonte

1 risposta

1

Prima di tutto, devi parlare con un QSA su qualcosa di simile.

Detto questo, ritengo che il documento Requisiti di sicurezza logica della scheda PCI si applichi più strettamente al tuo problema. E l'adesivo è che il titolare della carta deve fornire "una sorta di chiave segreta". In particolare, la sezione 10 Distribuzione del PIN tramite metodi elettronici afferma che è necessario convalidare la richiesta viene dal titolare della carta:

e) Communication of the PIN to the cardholder must only take place after verification of the identification value and associated authentication value.

f) The identification and authentication values must not disclose the account number.

g) The authentication mechanism or value must be different than the identification value and must not be a value easily associated with the cardholder.

h) The authentication value must be communicated to the cardholder in such a way that access by anyone other than the cardholder is detected.

h) implica anche che il titolare della carta non possa passare il suo valore di autenticazione attraverso la terza parte, ma lo sapevi.

Hai ragione che REST oi servizi web non sarebbero appropriati, ma un iframe è probabilmente accettabile , perché un iframe significa che la comunicazione relativa al PIN sarà direttamente tra il browser del titolare della carta e il tuo server, ignorando la terza parte. La terza parte fornisce semplicemente il collegamento che consente al titolare della carta di andare direttamente a voi. iframe è probabilmente la tecnologia appropriata per soddisfare il tuo requisito di far apparire la terza parte e il requisito PCI di richiedere la transazione direttamente tra te e il titolare della carta.

In alternativa, potresti semplicemente fare una pagina di marca. Crei una pagina web con l'aspetto del sito Web di terze parti e si collegano alla tua pagina. I titolari di tessere vanno sul tuo sito, il tuo URL, ma sembra abbastanza simile a quello di terzi.

Quindi, per riassumere: la terza persona passa il titolare della carta a te, tramite iframe o link diretto. Il titolare della carta invia i dati di autenticazione all'utente e recupera il PIN e termina con il continuare (iframe) o il reindirizzamento verso il (collegamento diretto) del sito della terza parte.

Potresti non essere in grado di raggiungere uno dei tuoi obiettivi: fare questo " in modo trasparente, in modo che il cliente non debba inserire una password o fornire una chiave di crittografia. " Questo non è compatibile con PCI requisiti. (Ciò detto, se la tua QSA è stata approvata e la terza parte è stata in grado di autenticare a sufficienza il titolare della carta attraverso il normale processo e di trasmetterne una prova crittografica come un cookie o un parametro di richiesta, forse potresti renderla trasparente. dove hai davvero, davvero, davvero bisogno di un consiglio di QSA, perché forse quello viola 'h' sopra)

    
risposta data 05.01.2015 - 13:48
fonte

Leggi altre domande sui tag

Funzione unidirezionale per la sincronizzazione dei dati Scelta dell'encoder per i payload in metasploit