PCI / DSS: données au repos
https://stackoverflow.com/questions/1058680
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Voulez-vous envisager l'utilisation de produits de mise en cache dans la catégorie des données au repos?
La solution
Ceci est une question complexe, mais tout ce qui a lieu pendant plus de 24 heures est considéré comme « stockage » et est sous contrôle strict sur la façon dont sont traitées les données de la carte -. Pas CV2 par exemple
Mais vous avez aussi les données doivent être sur le chemin de la transaction par carte et non dans le chemin de retour après la transaction.
Vous avez probablement besoin de discuter de votre exemple précis et exactement ce dont l'utilisation bits de données de la carte que vous êtes préoccupé par votre QSA
Autres conseils
Oui. Peu importe ce que le produit est, si elle stocke, traite ou transmet des données de cartes de paiement, alors il est dans la portée de PCI-DSS.
Cela dit, si votre appareil en tant que cache ne stocke les données cryptées et n'ont pas accès à toutes les clés utilisées pour le décryptage, alors vous devriez être en mesure d'accord avec votre QSA qu'il est hors de portée de votre évaluation.
Si elle ne gère les données de cartes de paiement non chiffrées, ou si elle a accès aux clés de déchiffrement alors vous devrez mettre en œuvre au moins un sous-ensemble des contrôles PCI-DSS pour les périphériques en tant que cache.
Convenu c'est complexe, mais basée sur ma compréhension, il y a quelques principes que vous pouvez tirer en PCI-DSS:
- les données du détenteur de la carte doivent être cryptées lors de leur transmission sur un réseau ouvert. Donc, si vous avez un cache local et les données de la mémoire cache doit être transmis sur un réseau ouvert, thats une zone vous devrez répondre.
- magasin seulement ce dont vous avez besoin. Si vous ne avez pas besoin certaines parties des données de titulaire de la carte, y compris CV2, expiration alors ne stocker même si son être stockées dans ce cant être données prises en compte au repos.
Son semble à mon avis que si votre cache stocke des données de titulaire de carte, son contrariant les de la norme. L'intention en ce qui concerne le stockage de données (amoungst autres) est de limiter le stockage, l'utilisation, la transmission seulement lorsqu'elle est nécessaire pour les données sensibles. Sans plus de détails de vous sur le contenu de votre cache, je ne peux pas imaginer pourquoi vous avez besoin de mettre en cache les données sensibles.
Je suis d'accord avec M. Cheekysoft en ce que vous devriez être ouvert et discuter avec votre QSA comme je suis sûr qu'il / elle a une fois éclairé sur les détails seront en mesure de vous fournir quelques indications.
