TLSは十分に安全ですか? PA-DSS支払いアプリケーションでローリングハッシュが必要ですか?

StackOverflow https://stackoverflow.com/questions/5327443

質問

私はソフトウェアエンジニアであり、現在、PCI PA-DSSコンプライアンスの下にある必要がある別の支払いアプリケーション(私の3番目のアプリケーション)に取り組んでいます。私はPA-DSSのドキュメントを再検討していますが、TLSとユーザー/パスを使用できたときに、過去にアプリケーションのセキュリティに従事していたのではないかと思っています。したがって、私の質問は、PA-DSSセキュアアプリケーションを実装するときです。

  1. 認証と通信セキュリティのために、TLS +ユーザー/パスを持つのに十分ですか?

  2. PA-DSSの標準のどの部分が、Webメソッド呼び出しの間にメッセージのハッシュとローリングハッシュを実装する必要性を正当化しますか? TLSは信頼できるメッセージを実装しますが、メッセージ間でハッシュと永続的な発信者をローリングするものではありません。ローリングハッシュを実装すると、(PA-DSSスタンドポイントから)違いが生じますか?

  3. 支払い処理アプリケーションがPII情報を保存し、さまざまな企業にサービスを提供している場合(A Company AとCompany Bがそのようなアプリケーションでアカウントを持つことができることを意味します)、PII情報を同じDBに保存できないと述べる特定の要件はありませんが、過去には過去に、PA-QSAは、これが問題であると主張しています。問題は、これは本当に必要なのですか?何千ものクライアントとプロセッサを抱えている会社が、各クライアント企業を通じて処理されたクレジットカードを保存するための異なるデータベースを持っているAuthorize.netを考えることはできません。

前もって感謝します!

更新#1:

  • DMZとSecure Zoneの両方で、すべての通信チャネル、ページ、およびサービスのHTTPSがあると仮定します。

  • #3では、問題は機密情報の保存の場所やセキュリティに関するものではありません。問題は、同じデータベースで、さまざまなソース(たとえば、AT&TやVerizonなどのクライアントなど)から機密情報を共有する能力に疑問を呈するようになっています。

役に立ちましたか?

解決

ここにはいくつかの問題があります。

1)ユーザー名+パスワードのみにTLSを使用することは、依然として脆弱性です。その違反 OWASP A9 Firehseepスタイルの攻撃を使用して、システム上のアカウントをハイジャックするのは簡単です。

PA-DSS 2.0はOWASPトップ10全体を具体化していないことを知っていますが、要件12.1に注意する必要があります。

12.1 Webベースの管理およびその他の非コンソール管理アクセスのためにSSH、VPN、SSL/TLSなどのテクノロジーを使用して、強力な暗号化ですべての非コンソール管理アクセスを暗号化するように顧客に指示します。

管理HTTPインターフェイスが含まれます。

2)PA-DSSは、VPNS、TLS/SSLなどの実際の輸送層セキュリティを使用して推奨しています。ローリングハッシュの要件があるとは思いません。正直なところ、これは非常に安全なデザインではありません。このようなトラフィックには、完全な輸送層保護が必要です。

3)要件を忘れないでください9:

9. カード所有者のデータは、インターネットに接続されているサーバーに決して保存してはなりません

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top