Tls sicher genug? Benötigen Sie Rolling Hash in einem PA-DSS-Zahlungsantrag?

StackOverflow https://stackoverflow.com/questions/5327443

Frage

Ich bin Software-Ingenieur und arbeite derzeit an einer anderen Zahlungsanwendung (mein 3.), die unter PCI PA-DSS-Konformität gehen muss. Ich werde die PA-DSS-Dokumentation erneut untersuchen und frage mich, ob ich in der Vergangenheit über die Sicherheit der Anwendung überarbeitet habe, wenn ich mit TLS und Benutzer/Pass hätte vorbeikommen können. Meine Fragen sind also bei der Implementierung einer sicheren Anwendung von PA-DSS:

  1. Für Authentifizierung und Kommunikationssicherheit reicht es aus, TLS + Benutzer/Pass zu haben?

  2. Welche Teile des PA-DSS-Standards rechtfertigen die Notwendigkeit der Implementierung von Nachrichten-Hashing- und Rolling-Hash zwischen Webmethodenaufrufen? TLS implementiert zuverlässige Nachrichten, jedoch nicht zu Hashes und anhaltenden Anrufern zwischen Nachrichten. Wird die Implementierung eines Rolling-Hash einen Unterschied machen (vom PA-DSS-Standpunkt)?

  3. Wenn ein Zahlungsverarbeitungsantrag PII -Informationen speichert und unterschiedlichen Unternehmen dient (was bedeutet, dass Unternehmen A und Unternehmen B in solchen Anmeldungen Konten haben können), gibt es keine spezifische Anforderung, dass die PII -Informationen nicht in derselben DB gespeichert werden können, aber in der Vergangenheit nicht PA-QSAs haben darauf bestanden, dass dies ein Problem ist. Die Frage ist: Ist das wirklich notwendig? Ich kann nicht denken, dass Authorize.net, ein Unternehmen mit Tausenden von Kunden und Prozessoren, unterschiedliche Datenbanken haben, um die Kreditkarten zu speichern, die über jedes seiner Kundenunternehmen verarbeitet wurden.

Danke im Voraus!

Update Nr. 1:

  • Angenommen, alle Seiten und Webdienste, sowohl in DMZ als auch Secure Zone, verfügen über HTTPS für alle Kommunikationskanäle, Seiten und Dienste.

  • Auf #3 bezieht sich die Frage nicht um den Standort oder die Sicherheit der Speicherung sensibler Informationen. Die Frage ist eher darauf ausgerichtet, die Fähigkeit in Frage zu stellen, vertrauliche Informationen aus verschiedenen Quellen (z. B. AT & T und Verizon) in derselben Datenbank zu teilen.

War es hilfreich?

Lösung

Hier gibt es ein paar Probleme.

1) Die Verwendung von TLS für nur das Benutzername+Passwort ist immer noch eine Verwundbarkeit. Es ist eine Verletzung von Owasp A9 und es ist trivial, ein Konto in Ihrem System mit einem Angriff im Firehseep -Stil zu entführen.

Ich weiß, dass der PA-DSS 2.0 die gesamte OWASP-Top 10 nicht verkörpert, aber die Anforderung 12.1 sollte beachtet werden:

12.1 Weisen Sie die Kunden an, alle administrativen nicht konsolativen Zugang zu starken Kryptographie zu verschlüsseln, indem Sie Technologien wie SSH, VPN oder SSL/TLS für das webbasierte Management und andere administrative Nicht-Konsolen-Zugriffe mithilfe verwenden.

Dies würde eine administrative HTTP -Schnittstelle umfassen.

2) Die PA-DSS empfohlen mit der Sicherheit der realen Transportschichten wie: VPNs und TLS/SSL. Ich glaube nicht, dass es eine Voraussetzung für das Rollen von Hashes gibt, und um ehrlich zu sein, ist dies kein sehr sicheres Design. Ein solcher Verkehr erfordert den vollen Schutz der Transportschicht.

3) Vergessen Sie nicht die Anforderung 9:

9. Karteninhaberdaten dürfen niemals auf einem mit dem Internet verbundenen Server gespeichert werden

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top