Progettazione e implementazione conformi al Secure Vault PCI

0

Spesso vedo la frase " Secure Vault " nelle documentazioni PCI DSS e voglio sapere se un " Secure Vault " deve essere un file altamente protetto con tecnologie sofisticate memorizzato su un hardware molto sicuro o semplicemente può essere un database dietro più livelli di meccanismi di sicurezza standard.

Voglio dire se vogliamo un alto livello di scalabilità potrebbe essere un database? Esiste uno standard per la progettazione e l'implementazione di un " Secure Vault "? Quali sono le migliori pratiche per la progettazione e l'implementazione?

Purtroppo non sono riuscito a trovare alcuna documentazione utile diversa dalle schede tecniche dei prodotti disponibili.

Qualsiasi aiuto apprezzato.

    
posta anonim 17.12.2014 - 10:13
fonte

1 risposta

1

"Secure Vault" viene utilizzato qui nel contesto della tokenizzazione, che quasi sempre significa "il Vault che qualcun altro (ad esempio, il tuo processore di pagamenti) conserva le carte, e che tu abbia sempre a che fare solo con i token che corrispondono a elementi nel deposito. "

Ovviamente puoi implementare un "caveau" tu stesso - ciò significa un archivio dati per dati PAN che soddisfa tutti i criteri dello standard PCI DSS come crittografia, autenticazione, controllo accessi, registrazione ecc. ecc. Leggi il DSS, implementa quello che dice e fallo abbastanza bene per passare un controllo - voilà, hai finito!

Tuttavia, di nuovo, "vault" viene utilizzato per identificare i token di backup dell'archivio dati. Se stai memorizzando le carte nel tuo vault proprio accanto al sistema in cui stai memorizzando e utilizzando i token, non hai guadagnato nulla; devi ancora fare tutto il lavoro di protezione dei dati PAN. Se non utilizzi token, non è un vault, è solo un database con dati PAN in ambito PCI e soggetto al DSS.

Lo scopo della tokenizzazione è limitare l'onere del DSS. Se il processore memorizza i dati PAN e fornisce solo i token, non è necessario archiviarli e mantenerli allo stesso livello di conformità che si avrebbe se si memorizzassero i dati PAN. "Vault" è solo un termine che descrive questa separazione tra il livello di storage sensibile e il livello dell'utente finale (tu, il commerciante) (cioè i token).

    
risposta data 17.12.2014 - 15:44
fonte

Leggi altre domande sui tag