PCI / DSS: datos en reposo
https://stackoverflow.com/questions/1058680
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Quieres que considerar el uso de productos de almacenamiento en caché en la categoría de los datos en reposo?
Solución
Este es un tema complejo, pero cualquier cosa que se mantuvo durante más de 24 horas se considera como "almacenamiento" y está bajo un estricto control sobre cómo se maneja datos de la tarjeta -. No se CV2 por ejemplo
Pero también los datos debe estar en camino a la transacción de la tarjeta y no en el camino de retorno después de la transacción.
Es probable que tenga para hablar de su ejemplo específico y exactamente lo que el uso de los bits de datos de la tarjeta está preocupado por con su QSA
Otros consejos
Sí. No importa qué es el producto, si se almacena, procesa o transmite datos de tarjetas de pago, entonces está dentro de alcance de PCI-DSS.
Una vez dicho esto, si su dispositivo Cacheing sólo almacena los datos cifrados y no tiene acceso a ningún claves utilizadas para el descifrado, entonces debería ser capaz de estar de acuerdo con su QSA que está fuera de alcance para su evaluación.
Si lo hace manejar datos de tarjetas de pago sin cifrar, o si tiene acceso a las claves de descifrado entonces usted tendrá que poner en práctica al menos un sub-conjunto de los controles PCI-DSS para los dispositivos cacheing.
acuerdo en que este es compleja, pero basado en mi entendimiento, hay un par de directores se puede extraer de PCI-DSS:
- datos del titular de la tarjeta deben estar cifrados al ser transmitida a través de una red abierta. Así que si usted tiene un caché local y los datos de la caché se va a transmitir en una red abierta, esa es un área que tendrá que hacer frente.
- Sólo guardar lo que necesita. Si usted no necesita algunas partes de los datos del titular de la tarjeta, incluyendo CV2, caducidad, entonces no almacenarlo incluso si haber permanecido amontonadas en lo que no puedo ser considerados datos en reposo.
Sus parece en mi opinión de que si la caché es el almacenamiento de datos del titular de la tarjeta, va a contrapelo de la norma. La intención en relación con el almacenamiento de datos (amoungst otros) es limitar almacenamiento, uso, transmisión a sólo cuando realmente se requiere para los datos sensibles. Sin más detalles de usted en el contenido de su caché, no puedo imaginar por qué necesita para almacenar en caché los datos sensibles.
Estoy totalmente de acuerdo con el Sr. Cheekysoft en que debe ser abierto y discutir con su QSA como estoy seguro de que él / ella una vez iluminados en los detalles será capaz de proporcionarle una cierta dirección.
