PCI DSS:البيانات في الراحة
https://stackoverflow.com/questions/1058680
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
هل تفكر في استخدام منتجات التخزين المؤقت في فئة البيانات غير النشطة؟
المحلول
وهذه قضية معقدة، ولكن يعتبر أي شيء الذي يقام لأكثر من 24 ساعة ب "التخزين" وتحت ضوابط صارمة حول كيفية التعامل مع بيانات بطاقة - لا CV2 على سبيل المثال
ولكن يجب أيضا أن تكون البيانات في طريقها إلى معاملة بطاقة وليس في مسار عودة بعد هذه الصفقة.
وربما كنت بحاجة لمناقشة الأمثلة المحددة وبالضبط ما فائدة منها بت من البيانات بطاقة كنت تشعر بالقلق إزاء مع جهاز الإحصاء الخاص بك
نصائح أخرى
نعم. لا يهم ما هو المنتج، إذا كان يخزن أو العمليات أو ينقل البيانات بطاقة دفع فمن ضمن نطاق PCI-DSS.
وأما وقد قلت ذلك، إذا كان الجهاز الخاص بك cacheing فقط مخازن البيانات المشفرة وليس لديها إمكانية الوصول إلى أي من مفاتيح تستخدم لفك التشفير ثم يجب أن تكون قادرة على الاتفاق مع جهاز الإحصاء الخاص بك الذي هو خارج النطاق للتقييم الخاص بك.
وإذا كان كذلك معالجة البيانات بطاقات الدفع غير مشفرة، أو إذا كان لديه حق الوصول إلى مفاتيح فك التشفير ثم سيكون لديك لتنفيذ ما لا يقل عن مجموعة فرعية من الضوابط PCI-DSS للأجهزة cacheing.
أوافق على أن هذا أمر معقد، ولكن بناءً على ما أفهمه، هناك بعض المبادئ التي يمكنك الاستفادة منها في PCI-DSS:
- يجب تشفير بيانات حامل البطاقة عند إرسالها عبر شبكة مفتوحة.لذا، إذا كان لديك ذاكرة تخزين مؤقت محلية وسيتم نقل البيانات من ذاكرة التخزين المؤقت عبر شبكة مفتوحة، فهذه منطقة سيتعين عليك معالجتها.
- قم بتخزين ما تحتاجه فقط.إذا كنت لا تحتاج إلى بعض أجزاء من بيانات حامل البطاقة، بما في ذلك CV2، وانتهاء الصلاحية، فلا تقم بتخزينها حتى لو تم تخزينها في ما لا يمكن اعتباره بيانات غير نشطة.
يبدو من وجهة نظري أنه إذا كانت ذاكرة التخزين المؤقت الخاصة بك تخزن بيانات حامل البطاقة، فهذا يتعارض مع المعيار.إن الهدف فيما يتعلق بتخزين البيانات (من بين أمور أخرى) هو الحد من تخزين البيانات واستخدامها ونقلها فقط حيثما يكون ذلك مطلوبًا فعليًا للبيانات الحساسة.بدون مزيد من التفاصيل منك حول محتوى ذاكرة التخزين المؤقت، لا أستطيع أن أتخيل سبب حاجتك إلى تخزين بيانات حساسة مؤقتًا.
أنا بالتأكيد أتفق مع السيد Cheekysoft في أنه يجب أن تكون منفتحًا وتناقش مع QSA الخاص بك لأنني متأكد من أنه بمجرد اطلاعه على التفاصيل سيكون قادرًا على تزويدك ببعض التوجيهات.
