PCI/DSS:Данные в состоянии покоя
Вопрос
Рассматриваете ли вы возможность использования продуктов кэширования в категории хранящихся данных?
Решение
Это сложная проблема, но все, что хранится более 24 часов, считается «хранилищем» и находится под строгим контролем обработки данных карты — например, без CV2.
Но данные также должны находиться на пути к транзакции по карте, а не на пути возврата после транзакции.
Вероятно, вам нужно обсудить ваш конкретный пример и то, какое именно использование каких битов данных карты вас интересует в вашем QSA.
Другие советы
Да.Неважно, что это за продукт: если он хранит, обрабатывает или передает данные платежных карт, то он подпадает под действие PCI-DSS.
При этом, если ваше устройство кэширования хранит только зашифрованные данные и не имеет доступа к каким-либо ключам, используемым для расшифровки, вы должны быть в состоянии договориться с вашим QSA, что это выходит за рамки вашей оценки.
Если он обрабатывает незашифрованные данные платежных карт или имеет доступ к ключам дешифрования, вам придется реализовать хотя бы часть элементов управления PCI-DSS для устройств кэширования.
Согласен, это сложно, но, насколько я понимаю, в PCI-DSS можно использовать несколько принципов:
- Данные держателя карты должны быть зашифрованы при передаче по открытой сети.Итак, если у вас есть локальный кеш и данные из кеша должны передаваться по открытой сети, вам придется обратиться к этой области.
- Храните только то, что вам нужно.Если вам не нужен срок действия некоторых частей данных держателя карты, включая CV2, не храните их, даже если они хранятся в том, что не может считаться неактивными данными.
На мой взгляд, если в вашем кеше хранятся данные держателей карт, это противоречит стандарту.Целью хранения данных (среди прочего) является ограничение хранения, использования и передачи только там, где это действительно необходимо для конфиденциальных данных.Без дополнительной информации о содержимом вашего кэша я не могу себе представить, зачем вам нужно кэшировать конфиденциальные данные.
Я, конечно, согласен с г-ном Чикисофтом в том, что вам следует быть открытым и обсуждать вопросы со своим QSA, поскольку я уверен, что он/она, узнав подробности, сможет дать вам некоторые рекомендации.