TLS assez sécurisé? Besoin rouler hachage dans une application de paiement PA-DSS?
https://stackoverflow.com/questions/5327443
-
26-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis un ingénieur logiciel et je travaille actuellement sur une autre application de paiement (mon 3ème un) qui doit passer sous PCI PA-DSS. Je réexaminant la documentation PA-DSS et je me demande si, dans le passé, je surchargés de travail sur la sécurité de l'application, quand je aurais pu aller par avec TLS et user / pass. Donc, mes questions sont, lors de la mise en œuvre d'une application sécurisée PA-DSS:
-
Pour l'authentification et la sécurité des communications est suffisante pour avoir l'utilisateur TLS + / pass?
-
Quelle partie (s) de la norme PA-DSS justifie la nécessité de mettre en œuvre le hachage de message et rouler hachage entre les méthodes Web appels? TLS implémente des messages fiables, mais pas rouler hash et les appels persistants entre les messages. Est-ce que la mise en œuvre d'un hachage roulant faire une différence (du point de position PA-DSS)?
-
Si une information stocke les applications de traitement des paiements PII et sert différentes sociétés (ce qui signifie que la société A et la société B peuvent avoir des comptes dans cette application), il n'y a pas d'exigence spécifique qui indique les informations de données personnelles ne peut pas être stocké dans le même DB, mais dans le passé, PA-QSA ont insisté dans ce qui est un problème. La question est: Est-ce vraiment nécessaire? Je ne peux pas penser Authorize.NET, une entreprise avec des milliers de clients et les transformateurs ont des bases de données pour stocker les cartes de crédit traitées par chacune de ses entreprises clientes.
Merci à l'avance!
Mise à jour # 1:
-
On suppose toutes les pages et les services Web, les deux dans DMZ et Secure Zone aura HTTPS pour tous les canaux de communication, des pages et des services.
-
# 3, la question ne concerne pas l'emplacement ou la sécurité du stockage des informations sensibles. La question est plus adaptée à la question de la capacité de partager des informations sensibles provenant de différentes sources (clients, comme AT & T et Verizon par exemple) dans la même base de données.
La solution
Il y a quelques problèmes ici.
1) En utilisant TLS pour juste le mot de passe username + est encore une vulnérabilité. Sa violation de OWASP a9 et son trivial pour pirater un compte sur votre système en utilisant une attaque de style firehseep.
Je sais que le PA-DSS 2.0 ne embody l'ensemble top 10 OWASP, mais exigence 12.1, il faut noter:
12.1 Indiquer aux clients de crypter tous les accès administratifs non-console cryptographie forte, en utilisant technologies telles que SSH, VPN ou SSL / TLS pour la gestion basée sur le Web et autres administratifs non-console accès.
Ce qui inclurait une interface d'administration http.
2) Le PA-DSS recommendeds en utilisant une véritable sécurité de couche de transport tels que: réseaux privés virtuels et TLS / SSL. Je ne crois pas qu'il y ait une exigence de hash de roulement, et pour être honnête, ce n'est pas un design très sécurisé. Ce trafic a besoin pleine protection de la couche de transport.
3) Ne pas oublier exigence 9:
9. données ne doivent jamais être titulaire de la carte stockées sur un serveur connecté à Internet
