PCI / DSS: Daten im Ruhezustand
https://stackoverflow.com/questions/1058680
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Möchten Sie die Verwendung von Caching-Produkten in der Kategorie der Daten in Ruhe betrachten?
Lösung
Dies ist ein komplexes Thema, aber alles, was für mehr als 24 Stunden gehalten wird, wird als „Speicher“ betrachtet und ist unter strengen Kontrolle darüber, wie Kartendaten gehandhabt wird. - Nein CV2 zum Beispiel
Aber Sie auch die Daten auf dem Weg in die Kartentransaktion sein muss und nicht in dem Rückweg nach der Transaktion.
Sie müssen wahrscheinlich Ihr konkretes Beispiel diskutieren und genau das, was die Verwendung von denen Bits von Kartendaten sind Sie besorgt über Ihre QSA
Andere Tipps
Ja. Es spielt keine Rolle, was das Produkt ist, wenn es speichert, verarbeitet oder überträgt die Daten der Kreditkarte dann er im Rahmen des PCI-DSS ist.
Having said that, wenn Ihr Cacheing Gerät speichert nur Daten verschlüsselt und hat keinen Zugriff auf alle für die Entschlüsselung verwendeten Schlüssel, dann sollten Sie in der Lage sein, mit Ihrer QSA zustimmen, dass es außerhalb des Gültigkeitsbereichs für Ihre Einschätzung ist.
Wenn es unverschlüsselt Zahlungskartendaten umgehen kann, oder wenn er Zugriff auf Dekodierungsschlüssel hat, dann werden Sie zumindest eine Teilmenge der PCI-DSS-Kontrollen für die Cacheing Geräte implementieren.
Vereinbarte dies ist komplex, aber basierend auf meinem Verständnis gibt es ein paar Prinzipien Sie in PCI-DSS ziehen:
- Karteninhaberdaten müssen verschlüsselt werden, wenn sie über ein offenes Netzwerk übertragen werden. Also, wenn Sie einen lokalen Cache und die Daten aus dem Cache sind über ein offenes Netzwerk übertragen werden, das ist ein Bereich, müssen Sie Adresse.
- Shop nur das, was Sie brauchen. Wenn Sie einige Teile der die Karteninhaberdaten nicht, einschließlich CV2, Ablauf dann dont speichern, selbst wenn seine in gespeichert werden, was kippe ruhende Daten betrachtet werden.
Das scheint meiner Meinung nach, dass, wenn Ihr Cache Karteninhaberdaten speichern, seine gegen den Strich des Standards geht. Die Absicht, in Bezug auf die Datenspeicherung (amoungst andere) ist die Speicherung zu begrenzen, die Verwendung, die Übertragung zu nur dort, wo tatsächlich für sensible Daten erforderlich. Ohne weitere Angaben von Ihnen auf Ihrem Cache Inhalt, ich kann nicht vorstellen, warum Sie sensible Daten cachen müssen.
Ich bin damit einverstanden sicher mit Herrn Cheekysoft, dass Sie sollten offen sein und mit Ihrem QSA besprechen, wie ich bin sicher, dass er / sie über die Details einmal erleuchtet in der Lage, Ihnen einige Hinweise zu geben.
