Tengo problemas para encontrar una definición clara de DSS de PCI para "Almacenamiento", ya sea que Microsoft BizTalk pueda o no considerarse dentro de esa definición. ¿Un servidor de BizTalk sobrecargado o un error en la organización pueden constituir un almacenamiento aunque solo sea momentáneo?
Dudo que encuentre una definición específica de almacenamiento desde el PCI DSS, ya que hay tantas maneras diferentes de percibir cuándo se "almacenan" los datos. Una encuesta rápida de otros 3 QSA a mi alrededor no podría llegar a un consenso de inmediato si BizTalk solo almacena información si está sobrecargada o incluso cuando está funcionando normalmente. Los archivos de caché, etc. pueden desempeñar un papel, incluso si normalmente no lo ve o no lo espera.
Una cosa en la que todos estamos de acuerdo es que, en última instancia, no importa en su escenario en función de la información que proporcionó. PCI DSS se aplica a todos los sistemas si procesa, transmite o almacena datos de titulares de tarjetas. Claramente, BizTalk se utiliza para procesar y transmitir información como mínimo. Si el sistema tiene el potencial de almacenar información cuando está sobrecargado, debe ser considerado y deben implementarse todos los controles aplicables para salvaguardar la información del titular de la tarjeta.
PCI DSS está preocupado por la presencia de titulares de tarjetas o datos confidenciales en medios de almacenamiento duraderos, ya sea que el propósito funcional sea temporal, como en una memoria caché o cola o en intercambio o permanente.
El almacenamiento duradero abre oportunidades adicionales para la exposición, sin importar cuál sea el propósito, y expande los escenarios en los que las fallas pueden llevar a un compromiso.
El uso del almacenamiento duradero para fines temporales por lo general debe ir acompañado de controles para demostrar que los datos confidenciales o del titular de la tarjeta se eliminan de forma segura incluso en situaciones de falla.