PCI DSS: enmascarar PAN y registrar acceso individual a PAN

3

¿Cómo se vuelven a conciliar dos requisitos de PCI DSS en las aplicaciones? 3.3 Máscara PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son el máximo número de dígitos que se mostrarán), de modo que solo el personal con una necesidad comercial legítima pueda ver el PAN completo. 10.2.1 Registrar todos los accesos de usuarios individuales a los datos del titular de la tarjeta

Para ser más específico, la pantalla de búsqueda de aplicaciones (basada en la búsqueda de usuarios) muestra múltiples resultados en formato de tabla donde, entre otros, se encuentra PAN, el nombre del titular de la tarjeta, la identificación del comerciante, etc. para ver el PAN, él / ella puede hacer clic en el PAN enmascarado para ver el PAN completo. Este clic activa el mecanismo de registro y podemos ver a qué usuario accedió a cierto PAN (por lo tanto, cumpliendo con el requisito de PCI DSS 10.2.1). Por supuesto, recibimos quejas de los usuarios, que no es fácil de usar porque no pueden identificar inmediatamente el PAN que necesitan.

Mis preguntas serían: ¿cuál sería su enfoque de esto? ¿Alguna sugerencia para mejorar?

    
pregunta rookie 13.11.2014 - 12:03
fuente

2 respuestas

1

Creo que tienes un buen enfoque. Me parece interesante que los usuarios se quejen de no poder identificar inmediatamente los números de las tarjetas cuando pueden ver los primeros seis y los últimos cuatro en su tabla de resultados; es poco probable que haya dos resultados con el mismo número enmascarado.

La forma en que lo tiene implementado actualmente es buena porque tiene un registro muy detallado del acceso a los datos del titular de la tarjeta. Sin embargo, si el usuario tiene la necesidad comercial de poder ver cualquiera de los números de tarjeta en el archivo (los que se presentan en la tabla de resultados enmascarados), no puede impedir que muestre los números de tarjeta completos en la tabla de resultados en lugar de los datos enmascarados. resultados.

Estoy de acuerdo en que la redacción del requisito es un poco confusa:

  

Enmascarar PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán), de modo que solo el personal con una necesidad comercial legítima pueda ver el PAN completo

Mi nueva redacción del requisito sería esta:

  

Máscara PAN cuando se muestra para usuarios sin necesidad de negocio para ver el PAN completo

Si el usuario tiene una necesidad comercial, no hay restricciones sobre la cantidad de datos que muestra al mismo tiempo. La única dificultad para usted sería implementar el registro en el que los números de tarjeta realmente se mostraron al usuario. Si bien esto no es tan sencillo como el enfoque de una sola tarjeta, existen varias soluciones técnicas que puede utilizar para solucionarlo en la base de datos o en la aplicación.

    
respondido por el freb 13.11.2014 - 19:21
fuente
0

Los datos PAN DSS de PCI (Número de cuenta personal) deben seguir estos principios al almacenar:

  1. Cifre el número PAN al crearlo en la base de datos (generalmente con un dispositivo HSM)
  2. Solo descifre el número PAN cuando ocurra una acción de facturación (facturación recurrente, use el número almacenado para comprar un artículo, etc.)
  3. Almacene, en una columna separada (o preferiblemente en dB separado) solo los últimos 4 dígitos de PAN, cifrados si es posible
  4. Mostrar solo los últimos 4 dígitos al cliente, nunca ofrecer "revelar número de tarjeta completo"

Su exposición aumenta cuando descifra todo el valor PAN, lo empuja al servidor de aplicaciones y luego solo muestra una parte de él. ¿Por qué exponer los datos de sus clientes (en la memoria) cuando en realidad no se utilizan para el propósito previsto?

Para responder a su pregunta principal: concilia los dos requisitos al tener un protocolo estricto sobre cómo se utilizan / almacenan los datos confidenciales, y por lo tanto, el problema que propuso se eliminó.

    
respondido por el hackajar 13.11.2014 - 20:18
fuente

Lea otras preguntas en las etiquetas