PCI / DSS: dati a riposo
https://stackoverflow.com/questions/1058680
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Vuoi prendere in considerazione l'uso di prodotti di caching nella categoria dei dati a riposo?
Soluzione
Questa è una questione complessa, ma tutto ciò che è tenuto per più di 24 ore è considerato come "stoccaggio" ed è sotto stretto controllo su come i dati della carta viene gestita -. Non CV2 ad esempio
Ma anche i dati devono essere sulla buona strada per la transazione con carta e non nel percorso di ritorno dopo l'operazione.
Probabilmente è necessario discutere il vostro esempio specifico ed esattamente quello cui utilizzo bit di dati della carta si sono preoccupati con il QSA
Altri suggerimenti
Sì. Non importa ciò che il prodotto è, se si memorizza, processi o trasmette i dati delle carte di pagamento, allora è nel campo di applicazione del PCI-DSS.
Detto questo, se il dispositivo di cache memorizza solo dati cifrati e non avere accesso ai vostri tasti utilizzati per la decriptazione allora si dovrebbe essere in grado di concordare con la vostra QSA che è fuori portata per la sua valutazione.
Se lo fa gestire i dati delle carte di pagamento in chiaro, o se ha accesso a chiavi di decrittazione, allora si dovrà attuare almeno un sottoinsieme dei controlli PCI-DSS per i dispositivi di cache.
Concordato questo è complesso, ma in base alla mia comprensione, c'è un paio di presidi si può trarre da PCI-DSS:
- dati del titolare della carta devono essere crittografati durante la trasmissione su una rete aperta. Quindi, se si dispone di una cache locale ei dati dalla cache deve essere trasmessa su una rete aperta, questo è un settore che si dovrà affrontare.
- unico negozio quello che ti serve. Se non avete bisogno alcune parti dei dati del titolare della carta, tra cui CV2, scadenza allora non conservarlo anche se il suo essere memorizzati in quello che non posso essere considerati dati a riposo.
La sua sembra, a mio avviso che, se la cache è la memorizzazione dei dati del titolare della carta, la sua intenzione contro il grano dello standard. L'intenzione in relazione alla memorizzazione dei dati (amoungst altri) è di limitare immagazzinamento, l'uso, la trasmissione solo quando effettivamente necessario per i dati sensibili. Senza ulteriori dettagli da voi sul vostro contenuto della cache, non posso immaginare il motivo per cui è necessario memorizzare nella cache i dati sensibili.
Sono certamente d'accordo con il sig Cheekysoft in che si dovrebbe essere aperto e discutere con il vostro QSA come sono sicuro che lui / lei una volta illuminati sui dettagli saranno in grado di fornire con una guida.
