El cliente no está almacenando las tarjetas de crédito de forma segura (casi sin formato). ¿Cómo convenzo al cliente para que sea más seguro?

2

Estoy escribiendo en relación con el cumplimiento de PCI-DSS para tarjetas de crédito. Un cliente mío no está dispuesto / no quiere aumentar la seguridad más allá de lo que actualmente se hace para los datos de su tarjeta de crédito. Todos los datos se almacenan actualmente en la base de datos MySQL de un servidor hasta que se ejecuta manualmente en el sistema del comerciante. Actualmente, solo se está cifrando el número de la tarjeta de crédito, y solo se usa el código básico de MySQL () con una cadena corta como la clave. El resto de la información es texto simple.

Personalmente, no me siento cómodo con esta seguridad de bajo nivel y están rechazando la seguridad. ¿Qué debo hacer / qué puedo hacer para explicar, alentar o forzar el cumplimiento de PCI DSS o al menos un mayor nivel de seguridad?

Estamos utilizando PHP 5.2 y MySQL (lo siento, olvide el número de versión)

Si no hay nada más, hay una forma de cifrarlo con PHP o MySQL que sea más seguro pero que minimice el trabajo para que el cliente esté más seguro.

    
pregunta kkirsche 08.01.2013 - 21:43
fuente

3 respuestas

7

Usted les dice lo que sabe y luego les permite que tomen la decisión que desean tomar. A menos que haya sido contratado para hacer su auditoría de PCI, probablemente esta no sea su lucha. Prepare un informe que explique las amenazas relevantes y los posibles problemas para que tanto usted como ellos lo tengan por escrito y luego haya terminado. Específicamente, es posible que desee hacerles saber contra qué tipo de ataques están defendiendo adecuadamente y contra qué tipo de ataques no están defendiendo adecuadamente, así como contra las ramificaciones.

Sin embargo, al final, su rol es como consultor, no como un tipo de capacidad de cumplimiento. Si presiona más allá de solo darles consejos, se pone a sí mismo en un riesgo significativo con una recompensa realmente nula.

    
respondido por el tylerl 09.01.2013 - 00:47
fuente
1

Recomendaría notificarles los requisitos de PCI-DSS para almacenar la información de la tarjeta de crédito de los emisores principales de tarjetas de crédito, especialmente las multas y el potencial de la demanda que enfrentan por baja seguridad, especialmente si se trata de una empresa con sede en los Estados Unidos o el Reino Unido.

También para mantenerse de acuerdo con las leyes estatales de protección al consumidor, es probable que tengan que cumplir con los requisitos para notificar:

  • Todos los residentes que hubo una violación de seguridad.
  • Envíe un correo electrónico a todos los usuarios sobre la violación y publique un mensaje en el sitio si la base de usuarios es extremadamente largo.
  • Notificación al departamento de consumidores de su estado Protección, Fiscal General y Oficina de Seguridad Cibernética & Coordinación de Infraestructura Crítica.
  • También puede haber otros requisitos de la FTC según la situación.
respondido por el ITOps 09.01.2013 - 02:44
fuente
0

Empuja hacia atrás sobre ellos. Muéstrales lo fácil que es recuperar los números de las tarjetas de crédito de la base de datos sin la clave. Recuérdeles que el dinero de sus propios clientes está en riesgo aquí, y si obtienen una mala reputación por el almacenamiento laxa de datos confidenciales, es probable que no tengan negocios antes de que puedan reparar el daño a su imagen.

No conozco los detalles específicos de su contrato con sus clientes, pero si su pago no está directamente relacionado con el cumplimiento de PCI, entonces señalaría la debilidad a quien esté realizando la inspección de cumplimiento. Simplemente no puede, con buena conciencia, tratar de ignorarlo y obtener la certificación de la empresa como compatible cuando sepa que hay un agujero de seguridad evidente.

Como su asesor externo, es casi seguro que estará sujeto a un NDA y, por lo tanto, no podrá informar legalmente a terceros de esta debilidad. Pero, ese sería el siguiente paso en casi cualquier otro caso; anónimamente publique información sobre la debilidad en las revistas en línea de "día cero" conocidas. Si todos saben que hay un problema, y la compañía sabe que todos saben, estarán motivados para solucionarlo antes de que alguien pueda explotarlo.

Por lo general, hay un período de "enfriamiento"; si usted fuera un "sombrero blanco" que no tenía ninguna relación con la empresa y encontró este problema, podría decirles que si no lo solucionan en 30 días, lo publicará en los diarios de día cero. Pero, si les da un aviso anónimo, sería muy fácil reunir uno y otro y perseguirlo por la violación de la NDA.

    
respondido por el KeithS 08.01.2013 - 22:38
fuente

Lea otras preguntas en las etiquetas