¿Debo ser compatible con PCI?

Navega tus respuestas
2

Tenemos un sistema interno y estoy tratando de determinar si el sistema está dentro del alcance para los fines del cumplimiento de PCI-DSS.

El sistema es completamente interno, no hay acceso público. El sistema contiene información del usuario que incluye un número de cuenta. Es posible que este número de cuenta sea un PAN de una tarjeta de crédito, aunque realmente no sabemos si lo es o no lo es. El sistema no procesa ni acepta pagos.

¿Es esto suficiente para que ese sistema esté en el alcance de PCI?

    
pregunta Ian 29.08.2013 - 10:44
fuente

3 respuestas

3

¿Su sistema almacena , transmite , procesa los datos del titular de la tarjeta junto con el número PAN?

Si responde sí a al menos una declaración, su sistema está dentro del alcance y tendrá que ser compatible con PCI.

  

Es posible que este número de cuenta pueda ser un PAN de un crédito   tarjeta

No le parece claro cuál es este número de cuenta, pero si le ayuda a comprender el alcance del cumplimiento:

  • si cada número de cuenta es un PAN completo, entonces el sistema está dentro del alcance.
  • si el número de cuenta 1/100 es un PAN completo, entonces el sistema está dentro del alcance.
  • si el número de cuenta 1/1000 es un PAN completo, entonces el sistema está dentro del alcance.

  • si el número de cuenta 1 / n es un PAN completo, entonces su sistema está dentro del alcance.

  • si ningún número de cuenta es un PAN completo, entonces su sistema está fuera de alcance

  • si el PAN solo contiene un subconjunto del número de tarjeta completo, como los últimos cuatro o los primeros seis y los últimos cuatro, su sistema está fuera de alcance.

Tenga en cuenta que las declaraciones anteriores se aplican a los números de su cuenta (que podría ser un PAN) almacenados, transmitidos o procesados por su sistema.

Incluso si no procesa o realiza el pago y lo hace tienda PAN para cualquier propósito (número de cuenta) su sistema estará dentro del alcance.

    
respondido por el Moustache 29.08.2013 - 16:04
fuente
0

Cotización de PCI-DSS Requisitos y procedimientos de evaluación de seguridad versión 2.0 (página 5):

  

PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios, así como a todas las demás entidades que almacenan, procesan o transmiten datos de titulares de tarjetas .

Por otra parte, parece que tiene un número de cuenta que puede o no ser un PAN de tarjeta de crédito y su sistema no procesa los pagos. Teniendo en cuenta esto, diría que no tiene que ser compatible con PCI.

    
respondido por el Gurzo 29.08.2013 - 12:35
fuente
-1

Piénsalo de esta manera:

  1. ¿Se comprometerá la confidencialidad de los datos del usuario si se infringe el sistema?
  2. Aunque el sistema no es accesible desde el exterior, ¿existen otras amenazas internas como el acceso no autorizado y las vulnerabilidades de software?
  3. ¿Es parte del sistema que debe ser compatible con PCI-DSS?

Si su respuesta es afirmativa para cualquiera de los puntos anteriores, es parte del alcance.

    
respondido por el AdnanG 29.08.2013 - 11:42
fuente

Lea otras preguntas en las etiquetas

¿Cómo CVE-2013-4287 hace que Rubygems sea más vulnerable? Generar CSR con 2 nombres de OU