requisitos de PCI-DSS con respecto a la exposición prolongada a vulnerabilidad crítica (RCE)

3

Supongamos que tenemos un sitio web de comercio electrónico donde el pago se realiza a través de la redirección a un proveedor de pagos, sin procesamiento / almacenamiento de datos de titulares de tarjetas en nuestro sitio (actualizaré si es necesario con la categoría de comerciante PCI exacta, pero entiendo que es el más bajo, todos los datos del titular de la tarjeta son manejados por el proveedor de pagos).

Supongamos que hace 2 meses descubrimos que varias vulnerabilidades críticas afectan a este sitio web (puntaje CVSS > 8, incluidos RCE y SQLi).

Suponga que no se ha hecho nada desde entonces (parches, mitigación) y que no tenemos capacidades internas para la investigación forense, la revisión de registros o cualquier otra actividad de detección.

Mis preguntas son:

  • ¿Hay algún requisito para realizar una investigación para identificar si estas vulnerabilidades han sido explotadas?
  • ¿Hay una divulgación obligatoria para alguien?
  • ¿Una obligación en términos de retraso para la reparación?
pregunta ack__ 02.12.2016 - 11:41
fuente

2 respuestas

4

Nota: No es un QSA, pero sí algo de experiencia con PCI.

La sección relevante aquí es la sección 6, especialmente 6.1 "¿Hay algún proceso para identificar vulnerabilidades de seguridad" y especialmente 6.2.b "¿Se instalan parches de seguridad críticos dentro de un mes del lanzamiento?" (aunque toda la sección es relevante para la discusión)

Para cumplir con las normas PCI DSS, debe contar con un proceso formal para identificar vulnerabilidades de seguridad, tanto en software de terceros como en software que escriba, mediante la verificación de la Base de datos de vulnerabilidad nacional u otras fuentes, mediante revisiones de códigos seguros y pruebas de vulnerabilidad. También debe tener un proceso para clasificar esas vulnerabilidades: la mayoría de los lugares utilizan el Common Vulnerability Scoring System pero no lo es. un requerimiento. Y una vez que se califiquen, debe tener un proceso que determine cuándo se debe solucionar cada uno, y ese proceso debe incluir la solución de vulnerabilidades críticas dentro de un mes.

Y una vez que tenga todos estos procesos, debe seguirlos.

No tengo conocimiento de ningún requisito de divulgación dentro del estándar PCI DSS, aunque la mejor práctica de la industria es tener políticas definidas para cuándo revelar a quién y puede haber leyes locales (California tiene algunas, por ejemplo) que requieren divulgación. en ciertas circunstancias. Soy un creyente personal en omitir la divulgación cuando se producen vulnerabilidades.

    
respondido por el crovers 02.12.2016 - 14:57
fuente
4

IANAQSA, y mucho de esto tiene más que ver con las obligaciones contractuales de la marca de la tarjeta procesadora-comerciante que con el DSS per se , así que hay más "creo" que "sé" de lo habitual aquí:

  

Supongamos que tenemos un sitio web de comercio electrónico donde el pago se realiza a través de   redirección a un proveedor de pagos, sin procesamiento / almacenamiento de   datos del titular de la tarjeta en nuestro sitio (actualizaré si es necesario con PCI exacto)   categoría de comerciante, pero entiendo que es la más baja, todas   los datos del titular de la tarjeta son manejados por el proveedor de pagos).

Parece que eres un comerciante sujeto a SAQ A . Esto limita la extensión de las PCI DSS a las que debe adherirse. Particularmente relevante para sus preguntas, no está sujeto a los requisitos de parches que se encuentran en el DSS 6 o en el análisis de registro del DSS 10.

Uno de los problemas de SAQ A ( IMHO! ) es que todas las protecciones en las que se basa están subvertidas trivialmente por un atacante que puede envenenar su sitio, pero SAQ A no está sujeto Usted cumple con los requisitos particulares (como 6 y 10) que le ayudarán a proteger su sitio contra ese vector. Tenga en cuenta que cuando no se lo responsabilice ante las protecciones, seguirá siendo responsable de la responsabilidad más adelante.

(Por ejemplo, simplemente exigir Monitoreo de integridad de archivos (FIM) según DSS 11.5 en SAQ Las páginas de comerciantes que dirigen a los clientes al iframe o javascript del procesador serían un gran aumento en la seguridad. Hay cientos de usuarios de Magento que He aprendido esto en el último mes o dos.)

  
  • ¿Hay algún requisito para realizar una investigación para identificar si estas vulnerabilidades han sido explotadas?
  •   

No, pero si tiene algún motivo para creer que ha sido explotado, entonces tiene obligaciones como comerciante de investigar la posible infracción tarjeta (por ejemplo, piense en términos de la tarjeta / transacción, no términos forenses informáticos). Como indica que "no tiene capacidades internas para la investigación forense, la revisión de registros o cualquier otra actividad de detección", entonces, si determina que hubo una infracción, cualquier investigación técnica posterior implicaría la contratación de una empresa externa (usted ya ha acordado contractualmente hacerlo). si está aceptando pagos con tarjeta).

Cuando digo "cualquier motivo para creer que han sido explotados," me refiero a "cualquier indicio de un aumento del fraude relacionado con las tarjetas que sus clientes han confiado a su procesador en su nombre". Nuevamente, piense en términos de tarjeta.

  
  • ¿Hay una divulgación obligatoria para alguien?
  •   

No está obligado a revelar el hecho de que ha determinado que tiene vulnerabilidades. Usted está obligado a divulgar cualquier violación creída de los datos del cliente, incluso si no mantiene esos datos del cliente, por ejemplo, si su línea de soporte comienza a recibir un aumento drástico de quejas de los clientes que dicen " ¡Compré algo en su sitio y al día siguiente comenzaron a aparecer cargos fraudulentos en mi tarjeta! "

Tenga en cuenta que su procesador y las marcas de tarjetas también realizan análisis estadísticos, y es muy probable que le notifiquen que ha tenido un problema, al igual que usted para notificarles. Lo que lleva a:

  
  • ¿Una obligación en términos de retraso para la reparación?
  •   

Si está violado, y en la investigación subsiguiente queda claro que su incapacidad para detectar y remediar sus problemas de seguridad de manera oportuna fue un factor contribuyente, entonces las multas o sanciones que enfrenta pueden empeorar. Por lo tanto, es absolutamente beneficioso para usted tratar con diligencia estos problemas y mantener un marco de tiempo claro.

Piense en ello como un problema legal de diligencia debida; de nuevo, como comerciante de SAQ A, no está sujeto a partes del DSS que podrían dibujar líneas en torno a esto, pero está seguro de que se queda con la bolsa si hay una infracción.

    
respondido por el gowenfawr 02.12.2016 - 16:36
fuente

Lea otras preguntas en las etiquetas