Herramientas para demostrar NO almacenamiento de datos de titulares de tarjetas

Como dice un comentario anterior, estás tratando de demostrar que eres negativo, ¡y eso es bastante difícil! El uso de herramientas que buscan expresiones regulares es útil, pero a menudo devuelven muchos falsos positivos y no pueden buscar muchos tipos de archivos. Como resultado, el uso de una herramienta debe ser una sola herramienta dentro de su arsenal.

Puede revisar qué sistemas y aplicaciones manejan los datos del titular de la tarjeta y ver los archivos de registro, los archivos de error, las tablas de la base de datos y verificar que los datos del titular de la tarjeta no estén presentes. Si solía tener datos del titular de la tarjeta, podría revisar las ubicaciones de almacenamiento heredadas y verificar que las purgas hayan tenido éxito y que los medios de copia de seguridad hayan sido sobrescritos o destruidos.

El alcance de las PCI DSS establece que el PAN es el factor que define los datos del titular de la tarjeta. Si tiene un nombre de titular de tarjeta o una fecha de vencimiento y no tiene PAN, no hay problema.

La forma más común de probar que los datos del titular de la tarjeta no están en un sistema es usar una herramienta para escanear ese sistema en busca de datos del titular de la tarjeta, como ccsrch .

De acuerdo con PCI DSS

Cardholder Data: At a minimum, cardholder data consists of the full PAN. 
Cardholder data may also appear in the form of the full PAN plus any of the following:
cardholder name, expiration date and/or service code See Sensitive Authentication Data
for additional data elements that may be transmitted or processed (but not stored) as
part of a payment transaction.

La palabra clave aquí es MÁS de cualquiera de los siguientes: nombre del titular de la tarjeta, fecha de vencimiento, etc. Si puede probar que los PAN no existen, los nombres de los titulares de las tarjetas y las fechas de vencimiento no son necesariamente datos de los titulares de las tarjetas. El código CVV nunca debe almacenarse nunca, pero probar que cada número de 3 o 4 dígitos es o no es un CVV es imposible, por lo que se trata de flujos de datos y de garantizar que estas cosas no se almacenen. Sería mejor preguntarle a su auditor cómo le gustaría que demuestre la no existencia de los datos del titular de la tarjeta y en qué sistemas necesitan pruebas.

La herramienta Spider de Cornell solía ser bastante popular, pero creo que ahora cobran por ella.

Puede encontrar una publicación de blog con otras opciones AQUÍ (gracias Google).

Uno de los elementos que requiere el DSS es un diagrama que muestra el flujo de datos PCI a través del sistema y la red. Cuando se me ha pedido que demuestre esto negativo, le he mostrado al interrogador la arquitectura del código, que también muestra los objetos de datos, las rutas que utilizan y dónde se almacenan / eliminan los datos. A continuación, muestro los sistemas por los que pasan los datos y realizo un examen de los números CC en una muestra estadísticamente relevante (archivos de registro, tanto de la aplicación como del sistema).

Como se explicó anteriormente, no estoy demostrando ser negativo, pero al seguir estos pasos y tener la documentación adecuada disponible, el interrogador parece aceptar más el hecho de que nuestros procesos no requieren el almacenamiento del PAN y que se implementa dentro del código.