Definición de almacenamiento de PCI DSS - Consideración de BizTalk

4

Tengo problemas para encontrar una definición clara de DSS de PCI para "Almacenamiento", ya sea que Microsoft BizTalk pueda o no considerarse dentro de esa definición. ¿Un servidor de BizTalk sobrecargado o un error en la organización pueden constituir un almacenamiento aunque solo sea momentáneo?

    
pregunta SystemObject 12.08.2016 - 00:54
fuente

2 respuestas

1

Dudo que encuentre una definición específica de almacenamiento desde el PCI DSS, ya que hay tantas maneras diferentes de percibir cuándo se "almacenan" los datos. Una encuesta rápida de otros 3 QSA a mi alrededor no podría llegar a un consenso de inmediato si BizTalk solo almacena información si está sobrecargada o incluso cuando está funcionando normalmente. Los archivos de caché, etc. pueden desempeñar un papel, incluso si normalmente no lo ve o no lo espera.

Una cosa en la que todos estamos de acuerdo es que, en última instancia, no importa en su escenario en función de la información que proporcionó. PCI DSS se aplica a todos los sistemas si procesa, transmite o almacena datos de titulares de tarjetas. Claramente, BizTalk se utiliza para procesar y transmitir información como mínimo. Si el sistema tiene el potencial de almacenar información cuando está sobrecargado, debe ser considerado y deben implementarse todos los controles aplicables para salvaguardar la información del titular de la tarjeta.

    
respondido por el Joe 18.08.2017 - 01:23
fuente
0

PCI DSS está preocupado por la presencia de titulares de tarjetas o datos confidenciales en medios de almacenamiento duraderos, ya sea que el propósito funcional sea temporal, como en una memoria caché o cola o en intercambio o permanente.

El almacenamiento duradero abre oportunidades adicionales para la exposición, sin importar cuál sea el propósito, y expande los escenarios en los que las fallas pueden llevar a un compromiso.

El uso del almacenamiento duradero para fines temporales por lo general debe ir acompañado de controles para demostrar que los datos confidenciales o del titular de la tarjeta se eliminan de forma segura incluso en situaciones de falla.

    
respondido por el Jonah Benton 12.08.2016 - 05:04
fuente

Lea otras preguntas en las etiquetas