IANAQSA, y mucho de esto tiene más que ver con las obligaciones contractuales de la marca de la tarjeta procesadora-comerciante que con el DSS per se , así que hay más "creo" que "sé" de lo habitual aquí:
Supongamos que tenemos un sitio web de comercio electrónico donde el pago se realiza a través de
redirección a un proveedor de pagos, sin procesamiento / almacenamiento de
datos del titular de la tarjeta en nuestro sitio (actualizaré si es necesario con PCI exacto)
categoría de comerciante, pero entiendo que es la más baja, todas
los datos del titular de la tarjeta son manejados por el proveedor de pagos).
Parece que eres un comerciante sujeto a SAQ A . Esto limita la extensión de las PCI DSS a las que debe adherirse. Particularmente relevante para sus preguntas, no está sujeto a los requisitos de parches que se encuentran en el DSS 6 o en el análisis de registro del DSS 10.
Uno de los problemas de SAQ A ( IMHO! ) es que todas las protecciones en las que se basa están subvertidas trivialmente por un atacante que puede envenenar su sitio, pero SAQ A no está sujeto Usted cumple con los requisitos particulares (como 6 y 10) que le ayudarán a proteger su sitio contra ese vector. Tenga en cuenta que cuando no se lo responsabilice ante las protecciones, seguirá siendo responsable de la responsabilidad más adelante.
(Por ejemplo, simplemente exigir Monitoreo de integridad de archivos (FIM) según DSS 11.5 en SAQ Las páginas de comerciantes que dirigen a los clientes al iframe o javascript del procesador serían un gran aumento en la seguridad. Hay cientos de usuarios de Magento que He aprendido esto en el último mes o dos.)
- ¿Hay algún requisito para realizar una investigación para identificar si estas vulnerabilidades han sido explotadas?
No, pero si tiene algún motivo para creer que ha sido explotado, entonces tiene obligaciones como comerciante de investigar la posible infracción tarjeta (por ejemplo, piense en términos de la tarjeta / transacción, no términos forenses informáticos). Como indica que "no tiene capacidades internas para la investigación forense, la revisión de registros o cualquier otra actividad de detección", entonces, si determina que hubo una infracción, cualquier investigación técnica posterior implicaría la contratación de una empresa externa (usted ya ha acordado contractualmente hacerlo). si está aceptando pagos con tarjeta).
Cuando digo "cualquier motivo para creer que han sido explotados," me refiero a "cualquier indicio de un aumento del fraude relacionado con las tarjetas que sus clientes han confiado a su procesador en su nombre". Nuevamente, piense en términos de tarjeta.
- ¿Hay una divulgación obligatoria para alguien?
No está obligado a revelar el hecho de que ha determinado que tiene vulnerabilidades. Usted está obligado a divulgar cualquier violación creída de los datos del cliente, incluso si no mantiene esos datos del cliente, por ejemplo, si su línea de soporte comienza a recibir un aumento drástico de quejas de los clientes que dicen " ¡Compré algo en su sitio y al día siguiente comenzaron a aparecer cargos fraudulentos en mi tarjeta! "
Tenga en cuenta que su procesador y las marcas de tarjetas también realizan análisis estadísticos, y es muy probable que le notifiquen que ha tenido un problema, al igual que usted para notificarles. Lo que lleva a:
- ¿Una obligación en términos de retraso para la reparación?
Si está violado, y en la investigación subsiguiente queda claro que su incapacidad para detectar y remediar sus problemas de seguridad de manera oportuna fue un factor contribuyente, entonces las multas o sanciones que enfrenta pueden empeorar. Por lo tanto, es absolutamente beneficioso para usted tratar con diligencia estos problemas y mantener un marco de tiempo claro.
Piense en ello como un problema legal de diligencia debida; de nuevo, como comerciante de SAQ A, no está sujeto a partes del DSS que podrían dibujar líneas en torno a esto, pero está seguro de que se queda con la bolsa si hay una infracción.