Cumplimiento de PCI-DSS para empresas con solo terminales de deslizamiento

5

Admito la infraestructura de TI para una pequeña empresa minorista que ahora debe someterse a una evaluación PCI-DSS. El proveedor de servicios de pago y terminal ( Streamline ) solicitó que usemos Trustwave para realizar la certificación PCI-DSS.

El problema al que me enfrento es que si respondo a todas las preguntas y cumplo con los requisitos de Trustwave hasta la carta, tendremos que invertir significativamente en equipos de red para LAN de segmentos y / o realizar escaneos de vulnerabilidades internas, mientras que Streamline me asegura que los terminales que tenemos ( Verifone VX670- B y MagIC3 X-8 ) son seguros, no almacenan ninguna información de la tarjeta de crédito y cumplen con la norma PCI-DSS, por lo que, de manera implícita, no necesitamos tomar ninguna medida para garantizar la seguridad de su red.

Estoy buscando sugerencias sobre cómo podemos cumplir con los requisitos de red para PCI-DSS.

Algunos antecedentes sobre nuestra configuración de red actual:

  • LAN con cable única, también con WiFi activada (aunque si esto crea alguna complejidad PCI-DSS, podemos desactivarla).
  • enrutador ADSL Netgear único. Este es el único servidor de seguridad que tenemos instalado, y el servidor de seguridad está fuera de la configuración de la caja (es decir, no DMZ, SNMP, etc.). Las contraseñas se han cambiado aunque :-)
  • algunas PC con Windows y 2 plataformas basadas en Windows, ninguna de las cuales ve información de tarjeta de crédito.
  • dos terminales de deslizamiento. Hasta hace unos meses (antes de que nos dijeran que debíamos tener la certificación PCI-DSS), estos terminales se autenticaban / capturaban por teléfono. Streamline sugirió que cambiemos a sus IP El servicio de banda ancha , que en su lugar utiliza un canal cifrado SSL a través de Internet para realizar la autenticación / captura, por lo que ahora usamos ese servicio.

No hacemos comercio electrónico ni recibimos pagos a través de Internet. Todas las transacciones son: tarjetahabiente presente o MOTO con detalles dados por teléfono y escritos directamente en el terminal. Estamos ubicados en el Reino Unido.

Como lo entiendo actualmente, tenemos tres opciones para obtener la certificación PCI-DSS.

  1. segmente nuestra red para que las terminales POS estén aisladas de todas las PC y configure el análisis de vulnerabilidades internas en esa red.
  2. no segmente la red, tiene que hacer más escaneos internos y tener una administración de PCs más onerosa de lo que creo que necesitamos (por ejemplo, aunque los tills están basados en Windows, están totalmente administrados, por lo que no tengo control sobre políticas de actualización de software, antivirus, etc). Todas las PC tienen actualizaciones antivirus y de Windows (MSE) y Windows, pero no tenemos ninguna centralizada
  3. volver a autenticación / captura a través de líneas telefónicas.

No puedo imaginar que seamos el primer comerciante en esta situación. Estoy buscando recomendaciones para una forma simple y rentable de cumplir con PCI-DSS, ya sea haciendo 1 o 2 arriba con (con suerte) un equipo / software simple y económico, o cualquier otra forma si hay una mejor manera de hacerlo . O ... ¿deberíamos volver a la edad de piedra digital y realizar la autenticación / captura por teléfono, lo que significa que no tenemos que hacer nada en nuestra red para obtener la certificación PCI-DSS?

    
pregunta rowatt 28.09.2012 - 16:50
fuente

3 respuestas

4

No soy un auditor, y nadie, excepto un auditor, puede darle respuestas válidas. Dicho esto, el Estándar de seguridad de datos de PCI es razonablemente directo sobre estos asuntos:

  

El entorno de datos del titular de la tarjeta se compone de personas, procesos y tecnología que almacenan, procesan o transmiten datos del titular de la tarjeta o datos confidenciales de autenticación.

Por lo tanto, no es necesario el almacenamiento de datos de la tarjeta para ponerlo en su alcance; la transmisión es suficiente Sus terminales transmitirán los datos del titular de la tarjeta y, por lo tanto, están "dentro del alcance" de los requisitos de PCI.

  

Segmentación de la red de, o aislamiento (segmentación) del titular de la tarjeta   El entorno de datos del resto de la red de una entidad no es un   Requisito PCI DSS. Sin embargo, es muy recomendable como método.   que puede reducir:

     
  • El alcance de la evaluación PCI DSS
  •   
  • El costo de la evaluación de PCI DSS
  •   
  • El costo y la dificultad de implementar y mantener los controles PCI DSS
  •   
  • El riesgo para una organización (reducido al consolidar los datos de los titulares de tarjetas en menos ubicaciones controladas)
  •   

En otras palabras, cualquier sistema conectado a la red con terminales de procesamiento está "en alcance", y también tendrá que ser escaneado y auditado. ¡Solo tiene que segmentarlo si no quiere dar fe de que depende de la seguridad de PCI cada año! (Dicho esto, probablemente sea más barato y más fácil segmentarlo que someter todo lo que esté en su red a los requisitos de PCI).

El Cuestionario de autoevaluación de PCI DSS describe los diferentes tipos de negocios y cuáles son sus amplios requisitos . De acuerdo con su descripción, está SAQ "C", que se describe en la página 11. A continuación, cito parte de ella y resalté la viñeta que indica que sí, quieren que segmente su red:

  

Los comerciantes de SAQ C validan el cumplimiento completando SAQ C y la   Certificado de Cumplimiento asociado, confirmando que:

     
  • Su empresa tiene un sistema de aplicación de pago y una conexión a Internet en el mismo dispositivo y / o en la misma red de área local (LAN);
  •   
  • El sistema de aplicación de pago / dispositivo de Internet no está conectado a ningún otro sistema dentro de su entorno (esto se puede lograr mediante la segmentación de la red para aislar el sistema de aplicación de pago / dispositivo de Internet de todos los demás sistemas);
  •   
  • La tienda de su compañía no está conectada a otras ubicaciones de tiendas, y cualquier LAN es solo para una sola tienda;
  •   
  • Su compañía solo retiene informes en papel o copias en papel de los recibos;
  •   
  • Su empresa no almacena los datos del titular de la tarjeta en formato electrónico; y
  •   
  • El proveedor de software de la aplicación de pago de su empresa utiliza técnicas seguras para proporcionar soporte remoto a su aplicación de pago.   sistema.
  •   

La buena noticia es:

  1. En el nivel de comerciante de bajo volumen, solo tienes que rellenar un formulario y firmarlo diciendo que cumples, por lo que no tienes que hacer frente a la auditoría costosa.
  2. Hay muchas reglas de PCI que parecen tontas. Este no es uno de ellos. Se ha demostrado repetidamente que la segmentación de la red, o la falta de ella, es un factor importante en las violaciones de datos de la tarjeta.
  3. Si la tienda es tan pequeña, entonces esto no es caro de arreglar. Compre un cortafuegos SOHO con un conmutador de 4 puertos integrado, asegúrese de que tenga la conexión inalámbrica apagada, conecte sus dos terminales y luego conecte la interfaz WAN a su LAN. Ha terminado por menos de $ 100.
respondido por el gowenfawr 28.09.2012 - 20:07
fuente
1

Me preocupan tus transacciones MOTO. Cuando dice que están terminados en una terminal, se refiere a los terminales del proveedor (Verifone VX670-B y MagIC3 X-8), ¿verdad? Si es así, eso es bueno.

¿Sus sistemas permiten la asignación de alguna de la información de la transacción de la tarjeta a los datos de los consumidores que pueda conservar, por ejemplo, un número de transacción de autorización de la tarjeta de crédito en el nombre de un cliente y el correo electrónico que guarda en su base de datos? Si es así, tienes una exposición que la gente de PCI querrá examinar. Un cliente mío en el pasado tenía sistemas seguros, pero su cuenta de correo electrónico (correo electrónico masivo) fue pirateada y todos los clientes recibieron un correo electrónico que decía que la información de su tarjeta había sido comprometida cuando, de hecho, todos los datos seguían siendo seguros. Pero PCI aborda esto de todos modos porque, más allá de cualquier otra cosa, PCI existe para proteger la reputación de la industria de tarjetas de pago (PCI).

Puse Splunk en sus PCs para consolidar su error de Win, sistema, transacciones de SQL, firewall y registros de AV, y luego revisar ese recurso de registro integrado con regularidad (usted confirma en su cuestionario de PCI que hace esto). Revisar los registros, especialmente los registros de los sistemas TSQL y Win (instalación de sfwr nuevo, etc.) es especialmente valioso para revelar vulnerabilidades y certificar que no existen vulnerabilidades explotables. Si no está consolidando y examinando estos registros, no tiene una base razonable para afirmar lo contrario.

Es mejor hacerlo ahora y tenerlo listo, que los auditores forenses lo "sugieran".

    
respondido por el Ron Robinson 28.09.2012 - 23:06
fuente
-3

¿Ya has hablado con un auditor? Es probable que no tenga que hacer nada excepto responder una encuesta. Una vez que certifique que no acepta otra cosa que no sean los swipes de tarjetas y no almacena números de tarjetas en ningún lugar, entonces su auditoría está completa.

Todo lo demás se requiere cuando la empresa mantiene las tarjetas de crédito almacenadas en algún lugar.

    
respondido por el longneck 28.09.2012 - 17:26
fuente

Lea otras preguntas en las etiquetas