¿Cumple TDE con PCI?

4

Según PCI, se puede almacenar en la base de datos siempre que se utilice una criptografía sólida. No pude encontrar qué criptografía se considera fuerte según PCI. Aquí está el problema: tengo números PAN almacenados como texto sin cifrar en una de mis bases de datos, estos números se recopilan desde una aplicación específica (con derechos de acceso establecidos) para generar informes. El problema es que, actualmente, cualquier persona que acceda a la base de datos SQL puede ver o tal vez copiar los números como texto simple. Lo que me dijeron sobre TDE es que cualquier persona que acceda a la base de datos desde dentro de nuestra red puede ver los números como texto simple, y solo si la base de datos se copió al exterior, estos números se cifrarán. Mis preguntas son las siguientes: ¿Está de acuerdo con el estándar PCI que un administrador de base de datos puede ver los números claramente incluso si la base de datos estaba encriptada TDE? ¿Se puede cifrar una base de datos SQL por otros medios (¿quizás DES?) Para que los números solo puedan ser visibles desde la aplicación y todos los que accedan a la base de datos vean los datos cifrados solamente?

    
pregunta Optimus Prime 30.07.2013 - 13:56
fuente

2 respuestas

5

Supongo que está hablando de la característica "TDE" proporcionada por Microsoft SQL Server.

TDE significa Transparent Data Encryption , énfasis en "transparente ". Esta es una capa de cifrado aplicada a los datos cuando se almacena; cada byte que administra SQL Server se cifra antes de escribirse en el disco y se descifra cuando se lee. Las aplicaciones que utilizan SQL Server no necesitan conocer ese proceso; es un asunto que reside únicamente en el diálogo entre SQL Server y sus archivos de almacenamiento. De ahí la transparencia. El lado bueno de esto es que es fácil de aplicar y funciona muy bien (sobrecarga de CPU pequeña a despreciable, sin E / S extra, sin espacio adicional ...). El lado oscuro es que SQL Server en sí mismo, no la aplicación, es el controlador de acceso: quien tenga acceso por SQL Server podrá ver los datos claros.

Para el cumplimiento de PCI, consulte este documento que incluye este párrafo (al final):

  

Algunas soluciones de criptografía cifran campos específicos de información   n almacenado en una base de datos; otros   cifrar un archivo singular o incluso todo el disco donde se almacenan los datos. Si se utiliza el cifrado de disco completo,   el acceso lógico debe administrarse independientemente del control de acceso del sistema operativo nativo   mecanismos Las claves de descifrado no deben estar vinculadas a las cuentas de usuario. Claves de cifrado utilizadas para   el cifrado de los datos del titular de la tarjeta debe estar protegido contra la divulgación y el uso indebido. Toda clave   Los procesos y procedimientos de gestión de las claves utilizadas para el cifrado de los datos del titular de la tarjeta deben ser   Completamente documentado e implementado. Para obtener más detalles, consulte el requisito 3 de PCI DSS.

"Cifrado de disco completo" es lo que se aplica a TDE (TDE se aplica nominalmente en archivos , pero todos ellos). En TDE, la clave de cifrado real es administrada por SQL Server, que otorgará o no otorgará acceso lógico a los usuarios según su configuración, que puede o no asignarse a las cuentas de los usuarios. Por lo tanto, diría que si TDE otorga o no el cumplimiento de PCI depende de cómo se utiliza .

No tengo derecho a dar una respuesta definitiva sobre cómo se puede lograr el cumplimiento de PCI con TDE, pero observo que la página de Wikipedia incluye un extracto alentador: "Las empresas suelen emplear TDE para resolver problemas de cumplimiento, como PCI DSS". Por lo tanto, se puede suponer que cumplir con los requisitos de PCI con TDE es posible , o al menos muchas personas parecen firmemente convencidas de que es posible, lo cual es casi tan bueno.

Microsoft tiene documentación sobre cómo se debe configurar y usar SQL Server en Un contexto de cumplimiento. También tienen un Webcast que puede incluir un lote de información útil (no la he visto).

    
respondido por el Tom Leek 30.07.2013 - 14:51
fuente
4

El cumplimiento y el cifrado de PCI tratan con el cifrado desde la perspectiva de seguridad de la administración de claves. Si bien hace referencia a un cifrado sólido, generalmente se entiende que se trata de estándares de la industria como 3DES 112, AES 128/256, etc. Cuando se hace referencia al cifrado de clave pública, está buscando RSA2048.

Los datos del titular de la tarjeta (PAN) deben cifrarse en reposo utilizando criptografía segura. Con TDE, los datos se cifran en reposo usando su elección de SQL, por lo que probablemente serán AES128 o AES256.

Para el cumplimiento de PCI, debe poder mostrar el control dual y el conocimiento dividido de las claves de cifrado. Si puede demostrar esto (lo que debería poder) con TDE, entonces usted es. Puede valer la pena discutir esto con su QSA si tiene uno.

Debería pensar por qué quiere el cifrado y de qué lo protege (a menos que simplemente quiera un tilde en la casilla de PCI). Con TDE, el cifrado es transparente por lo que, si el disco es robado, el ladrón ve los datos cifrados en el espacio de la base de datos, mientras que los usuarios locales ven datos de texto sin cifrar en todo momento. Debido a los controles de seguridad físicos, el robo físico no es el problema sino el robo de los datos. El uso de TDE significa que los datos serán copiables y visibles por el personal interno y, dependiendo de los controles implementados en la parte delantera, también podrían ser extraídos en texto sin cifrar por un usuario final [malicioso].

    
respondido por el AndyMac 30.07.2013 - 16:09
fuente

Lea otras preguntas en las etiquetas