¿Por qué hay preguntas sobre los “medios” en un SAQ A de PCI-DSS?

3

El SAQ A de PCI-DSS se utiliza en el caso de que todos los pagos se subcontraten a un proveedor externo (se aplican las condiciones).

A pesar de eso, sección 9 del cuestionario es sobre "medios" (si son Asegurado físicamente, si su mudanza sigue políticas, etc.).

¿De qué medios específicos están hablando ? Todas las operaciones de pago están subcontratadas, ¿por qué preguntar por "medios"? (No pregunto sobre la naturaleza de los medios (tiene que ser en papel según los requisitos), sino el posible contenido )

    
pregunta WoJ 21.10.2015 - 09:09
fuente

2 respuestas

3
  

Cualquier entidad también debe proteger los documentos en papel que contienen titular de la tarjeta    datos de acuerdo con los requisitos de PCI DSS 9.6 a 9.10. por   Por ejemplo, el requisito 9.6 establece que: "Asegure físicamente todo el papel y   medios electrónicos (incluyendo computadoras, medios electrónicos, redes   y hardware de comunicaciones, líneas de telecomunicación, recibos en papel,   informes en papel y faxes que contienen datos del titular de la tarjeta ".

¿Qué son los datos del titular de la tarjeta?

  

Los datos del titular de la tarjeta (CD) son cualquier información de identificación personal (PII)   asociado con una persona que tiene una tarjeta de crédito o débito

Entonces, ¿qué es PII?

  

La información de identificación personal (PII) es cualquier dato que podría   potencialmente identificar a un individuo específico. Cualquier información que pueda   ser usado para distinguir a una persona de otra y puede ser usado para   la anonimización de datos anónimos puede considerarse PII.

Considere recibir recibos con información del cliente como direcciones, nombres u otra PII. Ese es el contenido al que se dirigen.

    
respondido por el Lucas Kauffman 21.10.2015 - 09:42
fuente
1

La respuesta corta a su pregunta: en SAQ-A "media" se refiere exclusivamente a Documentación en papel que contiene datos del titular de la tarjeta. Sepa que mencionó en su pregunta que estaba interesado en el contenido de la información confidencial que un comerciante puede almacenar y no en la naturaleza física del medio que lo contiene, pero en este En caso de que deban mirar ambos elementos juntos, piensen a qué se refieren realmente los "medios" en el SAC-A.

La respuesta un poco más larga:

Comencemos con el texto de la primera pregunta en SAQ-A (en la página 4 del documento). Al evaluar el cumplimiento de las protecciones de almacenamiento de información de la tarjeta del requisito 9.5 de PCI, el documento pregunta:

  

¿Todos los medios están protegidos físicamente (incluidos, entre otros, los   Computadoras, medios electrónicos extraíbles, recibos en papel, informes en papel,   y faxes)?

     

Para los fines del Requisito 9, "medios" se refiere a todos los medios electrónicos y en papel que contienen datos del titular de la tarjeta.

Ahora, para cualquier persona sensata, esa definición rápida significa, bueno, más o menos exactamente lo que dice: "medios" se usa en un sentido muy amplio del término. Es decir, cualquier elemento físico (o al menos cualquier elemento físico separado o separable de una computadora, probablemente) que almacene o contenga información de la tarjeta de pago, ya sea que exista en papel, en formato electrónico en un disco o unidad, o en algún otro tipo de medio. Por lo tanto, el texto de la definición que obtenemos en las preguntas reales de SAQ arroja una red muy amplia.

Pero aquí está la cuestión: para fines prácticos al tratar con SAQ-A, la definición de "medios" para un comerciante real , práctica es en realidad mucho más restringida. / p>

La confusión proviene de una fuente muy comprensible: a pesar de la definición anterior de "medios" a la que se hace referencia en la pregunta / s real sobre el Requisito 9.5, las reglas de alcance que determinan qué tipos de comerciantes califican para usar el SAQ-A dice directamente que un comerciante de SAQ-A normalmente no debería tener la información de la tarjeta de pago almacenada en ningún "medio". ¿La única categoría posible de excepciones? Lo has dicho: documentación en papel. O en las palabras exactas de la lista de verificación "Parte 2g - Elegibilidad para completar SAQ A" en el documento SAQ-A (página 3):

  

El comerciante solo conserva informes en papel o recibos con datos del titular de la tarjeta,   y estos documentos no se reciben electrónicamente.

Línea inferior: Sí, como se usa en SAQ-A, "medios" se refiere solo a "informes en papel o recibos". A pesar de la definición confusa, también se hace referencia a una definición mucho más amplia * en el mismo SAQ. (Y, para su información, los comerciantes que do tienen medios no impresos en papel con datos de tarjetas de pago que flotan en sus operaciones deben examinar detenidamente las reglas sobre quién reúne los requisitos para presentar en SAQ-A. )

Lo sé, es suficiente para volver loco a uno. El maravilloso mundo del PCI. :)

Editar: La lista de verificación completa del alcance de SAQ-A:

    
respondido por el mostlyinformed 21.10.2015 - 18:56
fuente

Lea otras preguntas en las etiquetas