TLS足够安全吗?需要在PA-DSS付款申请中滚动哈希吗?

StackOverflow https://stackoverflow.com/questions/5327443

我是一名软件工程师,目前我正在研究其他付款应用程序(我的第三个),该应用程序必须根据PCI PA-DSS合规性进行。我正在重新审查PA-DSS文档,我想知道过去我是否可以使用TLS和用户/通行证来过度工作。因此,我的问题是在实施PA-DSS安全应用程序时:

  1. 对于身份验证和通信安全,足以拥有TLS +用户/通过吗?

  2. PA-DSS标准的哪一部分证明需要在Web方法调用之间实现消息哈希和滚动哈希的必要性? TLS会在消息之间实现可靠的消息,但不会在消息之间滚动哈希和持续的呼叫者。实施滚动哈希(与PA-DSS站点点)会产生任何不同吗?

  3. 如果付款处理应用程序存储PII信息并为不同的公司提供服务(这意味着公司A和公司可以在该申请中有帐户),则没有具体的要求,即PII信息不能存储在同一DB中,而是过去,PA-QSA一直坚持这是一个问题。问题是:这是真的吗?我不认为拥有成千上万个客户和处理器的公司具有不同的数据库来存储通过其每个客户公司处理的信用卡。

提前致谢!

更新#1:

  • 假设所有页面和Web服务在DMZ和安全区域中都将为所有通信渠道,页面和服务提供HTTP。

  • 在#3上,问题与敏感信息存储的位置或安全性无关。这个问题更适合质疑来自同一数据库中不同来源(例如AT&T和Verizon)共享敏感信息的能力。

有帮助吗?

解决方案

这里有一些问题。

1)仅将TLS用于用户名+密码仍然是一个漏洞。这违反了 Owasp A9 并且它对使用FireHSEEP样式攻击劫持了系统上的任何帐户的微不足道。

我知道PA-DSS 2.0不会体现整个OWASP前10名,但应注意12.1:

12.1 指示客户使用SSH,VPN或SSL/TLS等技术来对所有非辅助管理访问进行加密,以基于Web,基于Web的管理和其他非连接管理访问。

其中包括管理HTTP接口。

2)使用真实传输层安全性的PA-DSS推荐,例如:VPN和TLS/SSL。我不认为有滚动哈希的要求,老实说,这不是一个非常安全的设计。这样的流量需要完整的运输层保护。

3)不要忘记要求9:

9. 持卡人数据绝不能存储在连接到Internet的服务器上

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top