PCI Definición de “Transmisión”

1

Estoy trabajando en una compañía que es compatible con PCI, pero creo que han interpretado incorrectamente algunos de los requisitos. Debido a esto, están trabajando para crear soluciones que sospecho que no son necesarias.

Específicamente, me pregunto acerca de la definición de "Transmisión", en el contexto del requisito 4.2b de PCI "Todos los datos secretos y confidenciales deben cifrarse en todo momento durante la transmisión y el almacenamiento".

La compañía considera que esto significa que cada vez que se copia un archivo DENTRO DE LA RED INTERNA, esto constituye una transmisión y, por lo tanto, el archivo debe estar cifrado primero.

Sin embargo, creo que la transmisión parece implicar una transferencia a través de Internet, donde, por supuesto, es necesario que esté cifrado.

¿Alguien puede ayudar a resolver el argumento?

    
pregunta lipidfish 27.03.2014 - 04:58
fuente

3 respuestas

4

En lugar de intentar seguir una línea mal definida, piense en su seguridad y en su responsabilidad para con sus clientes. Si un hacker estuviera en tu red, ¿qué pasaría?

Incluso si PCI no lo requiriera técnicamente, si esta información estuviera en mi red, la requeriría. Dicho esto, la interpretación de nuestro QSA es que siempre debe estar encriptado internamente.

    
respondido por el John Deters 27.03.2014 - 05:33
fuente
3

El idioma / resumen que aborda su pregunta es el requisito 4: " Cifre la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas "

Aquí hay un par de enlaces (con referencias adicionales) que dan una visión general de los requisitos. Dejaré esto como un wiki de la comunidad en caso de que alguien pueda encontrar un mejor enlace.

Dicho esto, la información confidencial debe almacenarse encriptada independientemente de la ubicación, por lo que, en general, debería ser fácil dejarla encriptada dentro de su red hasta que dichos datos lleguen al punto de uso. Además, si su empresa utiliza enlaces de red dedicados proporcionados por proveedores externos, es decir, enlaces de metro entre edificios, campus, que normalmente consideraría su propia red (y, para la mayoría de las conversaciones), los datos también deben cifrarse en esos enlaces. No es técnicamente necesario, pero si ocurre un ataque MITM en su enlace de metro proporcionado por la compañía de telecomunicaciones y sus datos no están encriptados, eso no terminará bien para usted.

    
respondido por el Zeb 27.03.2014 - 06:23
fuente
1

PCI requisito 4.2b indica: "Nunca envíe PAN sin protección mediante tecnologías de mensajería del usuario final (por ejemplo, correo electrónico, mensajería instantánea, SMS, chat, etc.)".

La guía para este requisito describe: "El correo electrónico, la mensajería instantánea y el chat pueden interceptarse fácilmente mediante la detección de paquetes durante la entrega a través de redes internas y públicas. No utilice estas herramientas de mensajería para envíe PAN a menos que estén configurados para proporcionar un cifrado fuerte "

Esto no significa "Todos los datos secretos y confidenciales deben estar cifrados en todo momento durante la transmisión y el almacenamiento", como escribió, pero significa no enviar el número de tarjeta de crédito ( PAN) utilizando PAN desprotegidos por tecnologías de mensajería de usuario final.

Por ejemplo, puede enviarlo utilizando correo electrónico cifrado pero no correo regular \ chat

    
respondido por el BokerTov 24.02.2016 - 08:27
fuente

Lea otras preguntas en las etiquetas