He heredado la tarea de auto auditar un sistema de comercio electrónico para cumplir con el PCI-DSS.
Estamos almacenando el PAN en nuestra base de datos en forma cifrada utilizando un algoritmo AES de 256 bits para realizar el cifrado. La generación de claves se produce dentro de la aplicación y se deriva de una contraseña establecida por el usuario. La contraseña se lee en la inicialización de la aplicación desde una configuración. expediente. El sistema de encriptación utilizado es proporcionado por los métodos de jasypt PBE.
No tengo claro cómo se debe administrar un sistema de este tipo para el cumplimiento de PCI-DSS.
P1: ¿Debe considerarse la contraseña anterior como la "clave de cifrado de la clave"?
P2: ¿Es el requisito de PCI-DSS 3.6.6 "Si se utilizan las operaciones manuales de administración de claves criptográficas de texto no cifrado, estas operaciones deben administrarse utilizando conocimiento dividido y control dual (por ejemplo, se requieren dos o tres personas, cada una de las cuales solo sabe) su propio componente clave, para reconstruir toda la clave) ". relevante en este caso y, en caso afirmativo, ¿cómo podría implementarse?
Me preocupa la necesidad de que el cumplimiento con 3.6.6 afecte nuestra rápida iteración de desarrollo y ciclo de implementación.