TLS lo suficientemente seguro? ¿Necesita rodar hash en una solicitud de pago PA-DSS?

StackOverflow https://stackoverflow.com/questions/5327443

Pregunta

Soy ingeniero de software y actualmente estoy trabajando en otra aplicación de pago (mi tercera) que debe ir bajo el cumplimiento de PCI PA-DSS. Estoy reexaminando la documentación de PA-DSS y me pregunto si en el pasado trabajé en exceso la seguridad de la aplicación, cuando podría haber pasado con TLS y usuario/PASS. Entonces, mis preguntas son, al implementar una aplicación segura PA-DSS:

  1. Para la seguridad de la autenticación y la comunicación, ¿es suficiente tener TLS + usuario/PASS?

  2. ¿Qué parte (s) del estándar PA-DSS justifica la necesidad de implementar el hash de mensajes y el hash rodante entre las llamadas de métodos web? TLS implementa mensajes confiables, pero no hashes y llamadas persistentes entre mensajes. ¿Implementar un hash rodante hará alguna diferencia (desde el punto de vista PA-DSS)?

  3. Si una aplicación de procesamiento de pagos almacena información de PII y atiende a diferentes compañías (lo que significa que la Compañía A y la Compañía B pueden tener cuentas en dicha aplicación), no existe un requisito específico de que la información de PII no pueda almacenarse en el mismo DB, pero en el pasado , PA-QSAS han insistido en que este sea un problema. La pregunta es: ¿es esto realmente necesario? No puedo pensar que Authorize.net, una empresa con miles de clientes y procesadores, tenga diferentes bases de datos para almacenar las tarjetas de crédito procesadas a través de cada una de sus empresas clientes.

¡Gracias por adelantado!

Actualización #1:

  • Suponga que todas las páginas y servicios web, tanto en DMZ como en la zona segura, tendrán HTTP para todos los canales de comunicación, páginas y servicios.

  • En el n. ° 3, la pregunta no se trata de la ubicación o la seguridad del almacenamiento de información confidencial. La pregunta está más orientada a cuestionar la capacidad de compartir información confidencial de diferentes fuentes (clientes, como AT&T y Verizon, por ejemplo) en la misma base de datos.

¿Fue útil?

Solución

Hay algunos problemas aquí.

1) Usar TLS solo para el nombre de usuario+contraseña sigue siendo una vulnerabilidad. Es una violación de OWASP A9 y es trivial secuestrar cualquier cuenta en su sistema utilizando un ataque de estilo FireHseep.

Sé que el PA-DSS 2.0 no encarna todo el Top 10 de OWASP completo, pero debe tenerse en cuenta el requisito 12.1:

12.1 Instruya a los clientes a cifrar todo el acceso administrativo sin conclusión con criptografía fuerte, utilizando tecnologías como SSH, VPN o SSL/TLS para la gestión basada en la web y otro acceso administrativo sin información.

Que incluiría una interfaz HTTP administrativa.

2) El PA-DSS recomendó la seguridad de la capa de transporte real, como: VPNS y TLS/SSL. No creo que haya un requisito para los hashes rodantes, y para ser sincero, este no es un diseño muy seguro. Dicho tráfico necesita protección de capa de transporte completo.

3) No te olvides del requisito 9:

9. Los datos del titular de la tarjeta nunca deben almacenarse en un servidor conectado a Internet

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top