Grabación de problemas de PCI-DSS

Navega tus respuestas
2

Para un sistema de ingreso de tarjeta de pago no automatizado, si la persona que llama proporciona los detalles de la tarjeta de pago por teléfono a un empleado del centro de llamadas que confirma el número a la persona que llama, ¿eso significa que la organización no es compatible con PCI DSS?

Sistema de entrada de tarjeta de pago automatizado que normalmente incluye la grabación de llamadas y el enmascaramiento del bit donde la persona que llama dice el número. Suponiendo que esto cumpla con el cumplimiento de PCI-DSS, ¿hay alguna forma en que un atacante pueda robar los datos de la tarjeta de pago?

    
pregunta max 31.03.2016 - 17:24
fuente

1 respuesta

3

Es posible que los lectores deseen ver esta pregunta , ya que es una presentación más sencilla. O vaya a la fuente, que es el PCI SSC Suplemento de información: Protección de datos de tarjetas de pago telefónicas

  

Para un sistema de entrada de tarjeta de pago no automatizado, si una persona que llama es   proporcionar los detalles de una tarjeta de pago por teléfono a un centro de llamadas   empleado que confirma el número a la persona que llama, ¿significa eso el   ¿La organización no es compatible con PCI DSS?

Si se registra la llamada, aquí están los requisitos de cumplimiento de PCI DSS:

  • La grabación debe estar "encriptada usando criptografía fuerte o inutilizable". Por lo tanto, el número de la tarjeta, el PAN, puede grabarse, pero la grabación debe estar cifrada.
  • Sin embargo, es posible que algunas partes de la llamada no se graben: está "prohibido usar cualquier forma de grabación de audio digital (utilizando formatos como WAV, MP3, etc.) para almacenar códigos CAV2, CVC2, CVV2 o CID después de la autorización ".

Si la llamada no está grabada, entonces el PCI DSS no se aplica (a la llamada: si el empleado del centro de llamadas está escribiendo el número de tarjeta que escucha en una computadora, el DSS comienza a aplicar allí).

  

Sistema de entrada de tarjeta de pago automatizado que normalmente incluye llamadas   grabar y enmascarar el bit donde la persona que llama dice el número.   Suponiendo que esto cumpla con el cumplimiento de PCI-DSS, ¿hay alguna manera de que un   el atacante puede robar los datos de la tarjeta de pago?

Si la parte PAN de la grabación se almacena encriptada, entonces un atacante tendría que comprometer ese control de encriptación. Ciertamente, eso no es imposible, pero representa una barrera importante que debe superarse.

Si la parte PAN de la grabación está enmascarada, puede ser imposible comprometerse.

Si cumple con PCI, el CVV no está en la grabación, lo que sería imposible de comprometer.

Para todos estos escenarios , el empleado del centro de llamadas ingresará los datos de la tarjeta en un sistema para su procesamiento. Siendo todo lo demás igual, el atacante se centrará en el extremo de procesamiento de la cadena, no en el final de la llamada : la voz es analógica y desordenada, pero los sistemas de procesamiento son jugosos y digitales. Y ahí es donde entra el resto del DSS ...

    
respondido por el gowenfawr 31.03.2016 - 18:37
fuente

Lea otras preguntas en las etiquetas

¿Es seguro revelar nombres de columnas de tablas en ajax? ¿Es obligatorio el uso o la implementación de PDCA o ciclo de Deming en el Sistema de gestión de seguridad de la información?