API de alcance, tokens y procesador de PCI

2

Un comerciante recibe un token de pago provisto por el procesador en respuesta a una autorización de un pedido en línea (en aras de esta pregunta, supongamos que esta parte del proceso tiene todos sus PCI t-s cruzados y puntos). A continuación, el sistema de gestión de pedidos (OMS) procesa el pedido, que se encuentra en un segmento de red que no es PCI. El OMS se comunicará directamente con el procesador a través de las API accesibles a través de Internet para realizar capturas, autorizaciones, etc. de acuerdo con los flujos de sus procesos de negocios. Estas llamadas a la API utilizan el token recibido del procesador en la autenticación original. ¿El sistema OMS y su red están en el alcance PCI porque está llegando directamente (sin proxy) a las API del procesador?

    
pregunta Mark E 23.02.2016 - 16:56
fuente

1 respuesta

3
  

¿Está el sistema OMS y su red en alcance PCI porque está llegando   ¿directamente (sin proxy) a las API del procesador?

No, no está dentro del alcance. El procesador utilizará una combinación de firewalls de red, firewalls de seguridad de aplicaciones y API restringidas para proporcionar segmentación entre su red de ámbito PCI y usted, el consumidor de sus servicios. La segmentación es lo que limita la propagación del alcance de PCI.

Por supuesto, suponiendo que el procesador sea compatible con PCI ... Página 12 y la sección 12.8 de PCI DSS 3.1 establece que usted es responsable de verificar el cumplimiento de los proveedores que procesan en su nombre:

  

Un proveedor de servicios o comerciante puede utilizar un proveedor de servicios externo   para almacenar, procesar o transmitir datos de titulares de tarjetas en su nombre, o para   Administrar componentes como enrutadores, firewalls, bases de datos, físicos   Seguridad, y / o servidores. Si es así, puede haber un impacto en el   seguridad del entorno de datos del titular de la tarjeta.

     

...

     

Además, los comerciantes y proveedores de servicios deben administrar y monitorear   El cumplimiento de PCI DSS de todos los proveedores de servicios de terceros asociados.   Con acceso a los datos del titular de la tarjeta. Consulte el requisito 12.8 en este   documento para más detalles.

Validación de su procesador: En general, el flujo en PCI es la documentación hacia arriba, la certificación hacia abajo. Suponiendo que su procesador sea un Proveedor de servicios de Nivel 1 *, deben aparecer en Lista de proveedores de servicios de Visa o lista de proveedores de servicios compatibles con MasterCard . Buscar al proveedor es el método preferido para validar su cumplimiento, ya que se dirige a la autoridad central cerrada que realiza las actualizaciones oportunas (por ejemplo, la revocación). También le proporcionarán una copia de su AoC cuando lo solicite, que es un documento corto del auditor que dice "Vinimos, auditamos, los encontramos conformes (¡y ese hallazgo es punto en el tiempo solamente!)". No hay detalles en la AoC.

Con eficacia, nunca compartirán su RoC con usted; no están obligados a hacerlo, y contiene información que no quieren que se divulgue. Creo que he visto exploraciones de ASV compartidas con un comerciante de manera excepcional, pero ciertamente no es una práctica normal, y espero que la mayoría de los procesadores rechacen hacerlo en circunstancias normales.

Por otra parte, todo lo que el comerciante tiene (ROC / SAQ, ASV scanners, AOC) debe estar disponible para el procesador (y el banco adquirente, y las marcas de tarjetas ...) a solicitud. Es una relación asimétrica.

Si lees las subsecciones de 18.2, verás que básicamente dice "Debes saber con quién estás en una relación, qué PCI- los datos relacionados se intercambian en la relación y verifica que su validación está actualizada ". No se espera (... o permitido ...) ver los datos utilizados para concluir que están validados.

Entonces, regresando a su pregunta específica, no se espera que reciba datos de su procesador, lo que demuestra que su configuración limita adecuadamente el alcance de PCI. El hecho de que fueron validados (por una auditoría, para los Niveles 1) es una prueba de que contienen correctamente el flujo de datos del titular de la tarjeta.

(En realidad, tiene más matices que eso. Pueden tener dos ofertas de servicio, una que usa tokenización y otra magia para limitar su alcance, y otra en la que usted transmite y almacena CHD. Ambos pueden proporcionarse en un PCI de manera acorde ... es su responsabilidad saber la diferencia. Si elige la oferta en la que puede ver el CHD, es su su SAQ o RoC el que debe reflejar ese hecho. Si dice que está usa la tokenización pero usa la otra oferta, está fuera de cumplimiento. Su auditor o quien lea su SAQ, en parte, va a revisar sus aserciones y solicitar evidencia: muéstreles que tiene tokens; muéstreles que no tiene tarjetas.)

. * Un proveedor de servicios de nivel 2 puede SAQ y, por lo tanto, no estar en la lista. No tengo idea de cómo demuestran su cumplimiento con los comerciantes, a menos que compartan su SAQ, aunque solo sea con su auditor. Los QSA con los que he hablado tienden a despedir a los proveedores de servicios del Nivel 2 y estoy seguro de que estar en una relación con uno abriría su organización a un mayor control de auditoría de lo que podría ser el caso.

    
respondido por el gowenfawr 23.02.2016 - 18:10
fuente

Lea otras preguntas en las etiquetas