Lista de verificación de cumplimiento de PCI

1

Actualmente estoy tratando de envolver mi cabeza en torno al cumplimiento de PCI, y lo que necesito hacer para que mi empresa cumpla con las normas. Me gustaría una confirmación de lo que he encontrado hasta ahora.

Acepto pagos en una aplicación móvil. Tomamos los detalles de pago y los pasamos a nuestro propio servicio REST (a través de HTTPS), y luego ese servicio los transfiere instantáneamente a una pasarela de pago de terceros para gestionar el pago. Recibimos confirmación, y la aplicación obtiene esa confirmación. En ningún momento almacenamos los datos de pago. Mi negocio acepta poco más de 20,000 pagos al año.

Entonces, estaría en lo correcto al decir que:

  • Se debe completar un SAQ-D.
  • ¿Cada trimestre necesito obtener algún tipo de escaneo de red de un ASV?

También me gustaría saber si hay otros pasos necesarios para ser compatible con PCI?

Además, si uso el SDK móvil de PayPal, ¿qué pasos adicionales (si los hubiera) tendría que seguir para ser compatible con PCI?

    
pregunta Seer 06.10.2014 - 13:53
fuente

3 respuestas

4

La aplicación móvil actualmente no puede validarse o considerarse una aplicación de pago compatible. El SSC ha emitido orientación sobre seguridad y cumplimiento en aplicaciones móviles aquí: enlace

Como su entorno está recibiendo y transmitiendo datos del titular de la tarjeta, tiene razón en su afirmación de que debe completar SAQ-D. SAQ C sería más relevante si estuviera procesando datos en un terminal de pago en un entorno IP. Hay muchas cosas que debe hacer para ser compatible además del escaneo al que hace referencia anteriormente. La siguiente no es una lista exhaustiva:

  • El conjunto de reglas del cortafuegos revisa al menos cada 6 meses.
  • Endurecimiento del servidor en línea con los estándares de la industria (CIS, NIST, SANS)
  • Antivirus instalado, ejecutando análisis programados, generando registros
  • Sistemas parchados y hasta el ciclo de vida del desarrollo de software de datos: codificación segura, revisión por pares, separación de entornos de desarrollo, prueba y producción y separación de funciones entre esos entornos
  • Control de cambios para modificaciones e implementaciones de software
  • Control de acceso con autorizaciones documentadas para el Control de acceso basado en roles
  • autenticación de dos factores para el acceso remoto
  • políticas de contraseña
  • Seguridad física del entorno de alcance (CCTV, insignias, controles de visitantes)
  • Registro centralizado
  • Configuración NTP coherente con emparejamiento interno y fuentes externas
  • Exploración trimestral de vulnerabilidades internas / externas
  • Pruebas de penetración internas / externas anuales
  • Monitoreo de integridad de archivos IDS / IPS
  • Gran cantidad de documentación de políticas y procedimientos

Tenga en cuenta que si los datos de pago se transmitieron directamente desde la aplicación móvil al proveedor de servicios de pago de terceros, sus sistemas nunca manejarán los datos del titular de la tarjeta y PCI solo sería relevante para la diligencia debida realizada para validar que el tercero cumple con PCI. y acepta sus responsabilidades.

    
respondido por el AndyMac 06.10.2014 - 15:37
fuente
1

Si está seguro , nunca almacena los detalles de pago, ni siquiera en cosas como archivos de intercambio o volcados de memoria, entonces creo que SAQ-C será suficiente. Creo que es casi seguro que tendrá que cambiar algunos de sus procesos para completar el SAQ con éxito; no solo podrás completarlo y decir que has terminado.

    
respondido por el Mike Scott 06.10.2014 - 14:21
fuente
0

Estoy de acuerdo con Mike Scott en que SAQ-C debería ser suficiente en su caso. SAQ-C requiere que lo analice un ASV.

Recuerde que no almacena ningún dato del titular de la tarjeta en ningún momento. Es importante verificar que usted:

  • borrar registros
  • evitar volcados repentinos que contienen datos del titular de la tarjeta

Para las aplicaciones móviles, debe asegurarse de utilizar tipos de datos no serializables. Esto evita que los crashhlogs contengan datos confidenciales. Para Java, tiene el ejemplo del tipo de datos transcient .

Debes ser bueno en el resto. Por supuesto, siempre puede mejorar su organización de seguridad más allá de PCI-DSS. El cumplimiento se trata de obtener lo mínimo para una determinada situación, nunca está de más valorar las cosas más allá de un cierto estándar de cumplimiento.

    
respondido por el Lucas Kauffman 06.10.2014 - 14:39
fuente

Lea otras preguntas en las etiquetas