PCI / DSS: dados em repouso
https://stackoverflow.com/questions/1058680
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Você consideraria o uso de produtos de armazenamento em cache na categoria de dados em repouso?
Solução
Esta é uma questão complexa, mas qualquer coisa que é mantida por mais de 24 horas é considerado como "storage" e está sob controles estritos sobre como os dados do cartão é tratado -. Não CV2 por exemplo
Mas você também os dados devem estar no seu caminho para a transação de cartão e não no caminho de retorno após a transação.
Você provavelmente precisará discutir o seu exemplo específico e exatamente o que usar dos quais bits de dados do cartão você está preocupado com o seu QSA
Outras dicas
Sim. Não importa o que o produto é, se ele armazena, processa ou transmite dados do cartão de pagamento, então é dentro do escopo do PCI-DSS.
Dito isto, se o seu dispositivo cacheing só armazena dados criptografados e não tem acesso a quaisquer chaves usadas para a descodificação, então você deve ser capaz de concordar com o seu QSA que está fora do escopo para sua avaliação.
Se isso acontecer os dados do cartão de pagamento do punho sem criptografia, ou se tem acesso a chaves de decodificação, então você terá que implementar pelo menos um sub-conjunto dos controles PCI-DSS para os dispositivos cacheing.
Acordado este é complexa, mas com base na minha compreensão, há um par de diretores você pode desenhar a partir de PCI-DSS:
- Dados Titular deverá ser criptografados quando está sendo transmitida através de uma rede aberta. Então, se você tem um cache local e os dados do cache deve ser transmitida através de uma rede aberta, isso é uma área que você terá de endereço.
- loja apenas o que precisa. Se você não precisa de algumas partes dos dados titular do cartão, incluindo CV2, expiração loja, então não faça isso mesmo que a sua sendo armazenado em que não pode ser considerado de dados em repouso.
Sua parece em minha opinião de que se o seu cache é armazenar dados de titular do cartão, a sua vai na contramão da norma. A intenção em relação ao armazenamento de dados (amoungst outros) é o armazenamento limite, o uso, a transmissão para apenas quando realmente necessário para dados sensíveis. Sem mais detalhes do que você sobre o seu conteúdo cache, eu não posso imaginar por que você precisa para armazenar em cache os dados sensíveis.
Eu certamente concordo com o Sr. Cheekysoft em que você deve ser aberto e discutir com seu QSA como estou certo que ele / ela uma vez esclarecidos sobre os detalhes serão capazes de lhe fornecer alguma orientação.
