¿Las estaciones de trabajo de los usuarios se considerarían parte del CDE de PCI-DSS al recopilar datos de titulares de tarjetas mediante un portal seguro?

Sí , esas máquinas estarían en el CDE; sin embargo, con la segmentación adecuada, se tratarán en SAQ C-VT . Los comerciantes que se encuentran bajo el SAQ ("Cuestionario de autoevaluación") C-VT ("Terminal virtual") están sujetos a un número reducido de requisitos de PCI DSS, debido a su alcance limitado.

  

SAQ C-VT se ha desarrollado para abordar los requisitos aplicables a   comerciantes que procesan datos de titulares de tarjetas solo a través de virtual aislado   Terminales de pago en una computadora personal conectada a Internet.

     

Un terminal de pago virtual es un acceso basado en navegador web a un adquirente,   procesador, o el sitio web del proveedor de servicios de terceros para autorizar   Transacciones con tarjeta de pago, donde el comerciante ingresa manualmente el pago.   datos de la tarjeta a través de un navegador web conectado de forma segura.

y

  

Los comerciantes de SAQ C-VT procesan los datos del titular de la tarjeta solo mediante un pago virtual   Terminal y no almacene los datos del titular de la tarjeta en ningún sistema informático.   Estos terminales virtuales están conectados a Internet para acceder a un   Tercero que aloja el terminal virtual de procesamiento de pagos.   función. Este tercero puede ser un procesador, un adquirente u otro   Proveedor de servicios externo que almacena, procesa y / o transmite   datos del titular de la tarjeta para autorizar y / o liquidar el terminal virtual de los comerciantes   transacciones de pago.

("C" en "C-VT" no tiene un significado semántico; las SAQ son A / B / C / D para aumentar la amplitud de los requisitos. D es esencialmente el DSS completo; A es una mera puntuación de elementos individuales; C cae en el medio.)

La estación de trabajo completa y, de hecho, todo el centro de llamadas y, posiblemente, toda la red podrían estar dentro del alcance de las PCI DSS.

No hay necesidad de un keylogger, un pedazo de papel y un lápiz es suficiente para hacer que el operador sea un riesgo. Luego está la telefonía para el operador, los parches necesarios para mantener la seguridad general de la estación de trabajo.

Hay soluciones comerciales por ahí que mitigan el riesgo y reducen el esfuerzo de cumplimiento ya sea procesando todas las llamadas o enrutándolas a través de un centro de telefonía seguro.

Podrías ver estas 2 formas en las que sospecharía.

En primer lugar, suponiendo que el sitio web es seguro, como sugiere, con el SSL adecuado configurado, y que emplea la funcionalidad adecuada de administración de cuentas, luego argumenta que la transmisión de los datos de la tarjeta está cifrada entre el navegador de origen y el servidor. por lo que no se requiere ninguna investigación adicional en el PC de los usuarios.

Por otra parte, si el usuario tiene un keylogger en su PC, todas las demás medidas de seguridad pueden verse comprometidas.

Bajo la primera suposición, si tuviera una interfaz que permitiera a los clientes actualizar sus propios datos de tarjeta de crédito en el registro, tendría que incluir cada PC de los clientes en el CDE. Por supuesto, usted esperaría que el inicio de sesión de un cliente solo tuviera acceso a sus propios datos, no a todos los datos.

Yo diría que no, no es parte del CDE.

las estaciones de trabajo están dentro del alcance a menos que haya implementado algún tipo de solución iframe para eliminarlas.

de cualquier forma en que el consejo haya proporcionado un suplemento en este tema en el siguiente enlace: enlace