Sin embargo, ha llegado a un par de esas áreas donde los materiales de PCI son vagos y / o ambiguos. (A menudo, deliberadamente vago y ambiguo; el asesor de pagos es una institución política tanto como cualquier otra que trata temas de gran importancia para millones de personas y entidades, muchas de ellas con intereses diversos y con frecuencia en conflicto). Solo le daré una lectura de dónde creo que la opinión de la mayoría de los intérpretes de cumplimiento de PCI es (para la pregunta de "almacenamiento") y dónde están los puntos de guía (para la pregunta de "comercio electrónico").
: en lo que significa "almacenamiento", creo que es justo decir que, en general, la línea práctica se dibuja aquí: esto es información que se guarda completamente en la memoria RAM y se escribe en una unidad (u otro medio de almacenamiento no volátil) ). Ahora, en términos de la aplicación de esas ideas, la mayoría de los casos son bastante claros. Si la información de la tarjeta de crédito se guarda en la RAM de una máquina POS durante una fracción de segundo para cifrarla y tratarla, y luego se envía en su camino, ese caso es (casi) universalmente no para constituir el almacenamiento. En el otro extremo del espectro, si los datos del titular de la tarjeta se escriben en una unidad para guardarlos, si un cliente desea comprarle algo en algún momento en el futuro indefinido, ese escenario sería (casi) debe considerarse universalmente como almacenamiento, de modo que los datos deben estar cifrados y usted necesita SAQ D. El punto intermedio es donde las cosas se pueden complicar un poco más ...
En términos prácticos, diría que en casi cualquier escenario donde los datos del titular de la tarjeta se escriben en un medio no volátil , como un disco duro, un SSD o una cinta magentic, en lugar de RAM Yo le aconsejaría a un cliente que era su responsabilidad cifrar. Simplemente porque aunque sea su intención eliminar rápidamente dicha información (en minutos u horas, por ejemplo), puede persistir físicamente durante mucho más tiempo si no hace lo que pretende. En contraste, el contenido de la RAM se desvanece rápidamente cada vez que se reinicia o apaga una máquina, y así, en teoría, la información escrita simplemente en la RAM le da a un atacante una ventana mucho más breve para robarla. Por lo tanto, se considera fuera del propósito de la política de no tener información clara y vulnerable a los robos durante un largo período de tiempo. (Desgraciadamente, como hemos visto con las interminables violaciones de datos de los principales minoristas en los últimos años, incluso esa breve ventana es demasiado larga para evitar que el malware recoja los datos de los titulares de tarjetas). Ahora, si sigue específicamente una política de reinicio y alimentación Apague los servidores lo más raramente posible para que los datos estén en la RAM todo el tiempo que sea posible. En ese momento, ¿lo está "almacenando"? Posiblemente. Pero creo que la validez de la (s) regla (s) general (es) se mantiene.
Para resumir el tema del almacenamiento: averigüe si en algún lugar del proceso desde donde los datos del titular de la tarjeta ingresan a sus sistemas hasta el punto en que deja sus sistemas, los datos se escriben en almacenamiento . Si permanece completamente en la RAM y se desecha en unos segundos, unos minutos, incluso algunas horas, es muy probable que esté bien para SAQ C. Si está escrito en el almacenamiento, es probable que deba seguir las reglas de cifrado o tokenización y comenzar. con SAQ D. Incluso si lo escribe en el almacenamiento para algunos propósitos además de usarlo en futuras autorizaciones y tiene un mecanismo de software altamente confiable en su lugar que se asegura de que se borre en segundos, minutos u horas ... bueno, siga los estándares de encriptación / tokenización y use SAQ D para estar seguro. Pero podría haber cierta discrepancia entre los intérpretes de PCI sobre si usted o no realmente ha participado en el almacenamiento.
- Ahora, en el "punto de comercio electrónico", esto es en realidad algo más claro. No porque el texto de las reglas / orientaciones de SAQ sea claro. (Una parte dice que los "canales de comercio electrónico" no pueden usar SAQ C, pero otra parte justo por encima de la que contempla específicamente que los "comerciantes de comercio electrónico ... pueden usarlo. Huh ??.) Sin embargo, mientras que el texto está escrito de manera extraña, hay un gráfico en misma orientación Eso parece ser inequívoco. El cuadro está en la página 18 del pdf, pero permítame ampliar la parte correspondiente:
Creoqueelflujode"transacciones de comercio electrónico" es bastante decisivo: SAQ D es la única ruta que tiene. Entonces, independientemente de cómo resulte el problema del almacenamiento, la respuesta parece ser SAQ D. Para mí, de todos modos. (Descargo de responsabilidad estándar: recuerde, por lo que sabe, solo soy un tipo en Internet ...)
Dicho todo lo anterior, su QSA es el tipo o la chica que está directamente familiarizado con su situación, calificado para asesorarlo sobre PCI y profesionalmente responsable de hacerlo. En caso de duda, apoyate en su consejo. (Lo que también es que deberías usar SAQ D, de todos modos).
Espera que esto ayude. Saludos.