PCI-DSS 3 SAQ - incierto de nivel

2

Tenemos un debate interno sobre qué SAQ debemos completar para PCI. Nuestro cuestionario QSA dice D (y tiendo a estar de acuerdo), pero el director de la compañía dice que SAQ C ha leído las directrices.

La forma en que procesamos los datos de la tarjeta es:

  • Somos una empresa de suscripción a B2B, no vendemos "productos", pero los usuarios se suscriben para usar nuestro servicio cada mes
  • Tenemos un formulario web alojado en nuestro servidor
  • El usuario ingresa los detalles de pago y envía el formulario
  • Los datos se publican en nuestro servidor
  • Luego, transmitimos esos datos de manera segura a una API alojada por nuestro procesador de pagos
  • En realidad no "almacenamos" los datos de la tarjeta

El último punto es donde se encuentra la confusión: si bien no almacenamos los datos como los ingresamos en una base de datos, los datos residen en nuestros servidores (en la memoria, por ejemplo) como se publica en el formulario. .

¿Esa clase como "almacenamiento" de datos (en cuyo caso somos SAQ-D) o está transmitiendo (por lo tanto, somos SAQ-C)?

¡El punto crucial de esto parece ser la definición de "almacenamiento de datos" y no puedo encontrar una respuesta definitiva!

    
pregunta bhttoan 05.10.2015 - 16:41
fuente

4 respuestas

1

Sin embargo, ha llegado a un par de esas áreas donde los materiales de PCI son vagos y / o ambiguos. (A menudo, deliberadamente vago y ambiguo; el asesor de pagos es una institución política tanto como cualquier otra que trata temas de gran importancia para millones de personas y entidades, muchas de ellas con intereses diversos y con frecuencia en conflicto). Solo le daré una lectura de dónde creo que la opinión de la mayoría de los intérpretes de cumplimiento de PCI es (para la pregunta de "almacenamiento") y dónde están los puntos de guía (para la pregunta de "comercio electrónico").

: en lo que significa "almacenamiento", creo que es justo decir que, en general, la línea práctica se dibuja aquí: esto es información que se guarda completamente en la memoria RAM y se escribe en una unidad (u otro medio de almacenamiento no volátil) ). Ahora, en términos de la aplicación de esas ideas, la mayoría de los casos son bastante claros. Si la información de la tarjeta de crédito se guarda en la RAM de una máquina POS durante una fracción de segundo para cifrarla y tratarla, y luego se envía en su camino, ese caso es (casi) universalmente no para constituir el almacenamiento. En el otro extremo del espectro, si los datos del titular de la tarjeta se escriben en una unidad para guardarlos, si un cliente desea comprarle algo en algún momento en el futuro indefinido, ese escenario sería (casi) debe considerarse universalmente como almacenamiento, de modo que los datos deben estar cifrados y usted necesita SAQ D. El punto intermedio es donde las cosas se pueden complicar un poco más ...

En términos prácticos, diría que en casi cualquier escenario donde los datos del titular de la tarjeta se escriben en un medio no volátil , como un disco duro, un SSD o una cinta magentic, en lugar de RAM Yo le aconsejaría a un cliente que era su responsabilidad cifrar. Simplemente porque aunque sea su intención eliminar rápidamente dicha información (en minutos u horas, por ejemplo), puede persistir físicamente durante mucho más tiempo si no hace lo que pretende. En contraste, el contenido de la RAM se desvanece rápidamente cada vez que se reinicia o apaga una máquina, y así, en teoría, la información escrita simplemente en la RAM le da a un atacante una ventana mucho más breve para robarla. Por lo tanto, se considera fuera del propósito de la política de no tener información clara y vulnerable a los robos durante un largo período de tiempo. (Desgraciadamente, como hemos visto con las interminables violaciones de datos de los principales minoristas en los últimos años, incluso esa breve ventana es demasiado larga para evitar que el malware recoja los datos de los titulares de tarjetas). Ahora, si sigue específicamente una política de reinicio y alimentación Apague los servidores lo más raramente posible para que los datos estén en la RAM todo el tiempo que sea posible. En ese momento, ¿lo está "almacenando"? Posiblemente. Pero creo que la validez de la (s) regla (s) general (es) se mantiene.

Para resumir el tema del almacenamiento: averigüe si en algún lugar del proceso desde donde los datos del titular de la tarjeta ingresan a sus sistemas hasta el punto en que deja sus sistemas, los datos se escriben en almacenamiento . Si permanece completamente en la RAM y se desecha en unos segundos, unos minutos, incluso algunas horas, es muy probable que esté bien para SAQ C. Si está escrito en el almacenamiento, es probable que deba seguir las reglas de cifrado o tokenización y comenzar. con SAQ D. Incluso si lo escribe en el almacenamiento para algunos propósitos además de usarlo en futuras autorizaciones y tiene un mecanismo de software altamente confiable en su lugar que se asegura de que se borre en segundos, minutos u horas ... bueno, siga los estándares de encriptación / tokenización y use SAQ D para estar seguro. Pero podría haber cierta discrepancia entre los intérpretes de PCI sobre si usted o no realmente ha participado en el almacenamiento.

- Ahora, en el "punto de comercio electrónico", esto es en realidad algo más claro. No porque el texto de las reglas / orientaciones de SAQ sea claro. (Una parte dice que los "canales de comercio electrónico" no pueden usar SAQ C, pero otra parte justo por encima de la que contempla específicamente que los "comerciantes de comercio electrónico ... pueden usarlo. Huh ??.) Sin embargo, mientras que el texto está escrito de manera extraña, hay un gráfico en misma orientación Eso parece ser inequívoco. El cuadro está en la página 18 del pdf, pero permítame ampliar la parte correspondiente:

Creoqueelflujode"transacciones de comercio electrónico" es bastante decisivo: SAQ D es la única ruta que tiene. Entonces, independientemente de cómo resulte el problema del almacenamiento, la respuesta parece ser SAQ D. Para mí, de todos modos. (Descargo de responsabilidad estándar: recuerde, por lo que sabe, solo soy un tipo en Internet ...)

Dicho todo lo anterior, su QSA es el tipo o la chica que está directamente familiarizado con su situación, calificado para asesorarlo sobre PCI y profesionalmente responsable de hacerlo. En caso de duda, apoyate en su consejo. (Lo que también es que deberías usar SAQ D, de todos modos).

Espera que esto ayude. Saludos.

    
respondido por el mostlyinformed 05.10.2015 - 21:15
fuente
1

Si usted es comercio electrónico y los datos de la tarjeta del usuario entran en contacto con su servidor (en la memoria o en el disco), entonces es SAQ-D.

Puede reducir su alcance a SAQ-A-EP si el formulario de pago en su sitio publica directamente la API del procesador de pagos, pero si los datos de la tarjeta entran en contacto con su servidor, aunque no estén almacenados, usted está SAQ-D.

Recuerde que si tiene el nivel 1 o el nivel 2 (según los números de transacción), su QSA tendrá que aprobarlo y su interpretación es la única que cuenta.

    
respondido por el David Scholefield 05.10.2015 - 20:26
fuente
0

Si su procesamiento de datos es almacenamiento o no es una cosa. Lo más importante es que para ser elegible para SAQ C (todo el énfasis debajo del mío)

  

Comerciantes con sistemas de solicitud de pago conectados a Internet,   No hay almacenamiento electrónico de datos del titular de la tarjeta No aplicable al comercio electrónico   canales.

e-commerce es propenso a la interpretación, por lo que vale Wikipedia lo define como

  

E-commerce (...) es el comercio de productos o servicios utilizando una computadora   Redes, como Internet.

Ya que dice que "no vendemos" productos ", pero los usuarios se suscriben para usar nuestro servicio cada mes" supondría que usted no participa en SAQ C, y por lo tanto, debe evaluar contra SAQ D.

    
respondido por el WoJ 05.10.2015 - 17:49
fuente
0

Hable con su adquirente. Son los dueños de la relación con usted y son responsables de su cumplimiento de PCI (como lo exigen las marcas de tarjetas). El administrador de su cuenta debe poder decirle lo que será aceptable como un envío de SAQ si no está seguro (¡es su responsabilidad avisarle!).

    
respondido por el SecurityChris 26.10.2015 - 15:33
fuente

Lea otras preguntas en las etiquetas