Cifrado de datos PCI y alcance de PCI-DSS

Navega tus respuestas
1

Leí otra pregunta que me hizo pensar ...

Si encripta datos PCI (números de tarjetas de crédito, etc.) utilizando PGP o AES y los envía a través de un firewall, ¿está ese firewall dentro del alcance?

De forma alternativa, ¿qué sucede si solo utiliza un mecanismo de seguridad de datos en movimiento como SSH o TLS, ese mismo firewall estaría dentro o fuera del alcance?

Quizás pueda agregar más contexto.

Claro, nuestro firewall "Área PCI" está dentro del alcance, pero ¿qué sucede si un servidor de seguridad separa dos Intranets diferentes y los datos PCI cifrados (que usan cualquiera de los dos métodos) pasan a través de él para llegar a otro servidor? Por ejemplo, pasa a través de nuestro firewall "Área PCI" y nuestro firewall "Intranet 2" para ingresar a Intranet 2.

PCI dice que cualquier cosa que "almacene, envíe o procese" datos de tarjetas de crédito debe estar dentro del alcance. ¿Intranet 2 firewall hace eso? Definitivamente enruta / reenvía el flujo de datos, procesa los paquetes y almacena parte de la información en sus registros, pero no estoy seguro de que alguno de ellos sea realmente de alcance PCI porque la información está encriptada. En realidad no está manejando ningún dato PCI en bruto, está manejando información encriptada.

Podría argumentar que el cifrado es reversible y, por lo tanto, podría ser PCI, pero no tengo claro en qué punto se encuentra esto desde la perspectiva de un QSA.

Me inclino a tratar a todas las redes como PCI, y a aplicar mecanismos de seguridad adicionales, según me parezca. Sin embargo, estoy tratando de determinar cuáles son las prioridades para las empresas que deben cumplir con PCI.

    
pregunta JZeolla 06.12.2013 - 23:01
fuente

3 respuestas

4

Oh. Según su actualización ...

No. Los cortafuegos no conectados al CDE no están dentro del alcance simplemente porque los datos PAN encriptados los transitan. Si ese fuera el caso, toda la maldita Internet estaría dentro del alcance.

Parte de ser compatible con PCI implica trazar datos de titulares de tarjetas y topología de red. El firewall más cercano a su CDE está dentro del alcance, y si el asesor determina que proporciona los controles apropiados, entonces elimina los dispositivos externos del alcance. Es posible que desee revisar Segmentación de red en las páginas 10-11 de PCI DSS 2.0 y Apéndice D.

También debe ver cómo se introduce el alcance: puede consultar Open PCI DSS Scoping Toolkit , que no es oficial pero que refleja la forma en que muchos QSA intentan desglosarlo. Entonces, si su segundo servidor de seguridad solo ve datos PAN encriptados, no está dentro del alcance, pero ¿qué sucede si protege su Controlador de dominio de Active Directory de Windows y su entorno de CDE usa credenciales de AD? Tal vez eso pone AD en el alcance. Tal vez eso pone a los firewalls que protegen a los servidores de AD dentro del alcance. Puede ser complicado y puede variar según el QSA, y por lo que he escuchado, la infección por el alcance va a empeorar con el DSS 3.0.

Respuesta anterior (actualización previa a la pregunta):

Sí, lo es. La totalidad del Requisito 1 de las PCI DSS ( Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta ) se trata de asegurarse de que haya un firewall frente a su entorno de datos del titular de la tarjeta para protegerlo, y de garantizar está configurado y mantenido correctamente.

El cifrado de datos PCI para enviarlos a través del firewall es el Requisito 4 ( Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas ). Es un requisito básico, no es algo que haga para intentar eliminar los cortafuegos fuera del alcance.

El cifrado protege esos datos . Los cortafuegos protegen los servidores y redes . Las PCI DSS requieren que implemente ambos .

    
respondido por el gowenfawr 07.12.2013 - 16:32
fuente
2

El cortafuegos no está en el alcance solo porque está pasando información cifrada del titular de la tarjeta; de lo contrario, todos los enrutadores de Internet estarían en el alcance cuando usted ingrese su número de tarjeta en PayPal. El firewall está dentro del alcance cuando protege una red que contiene máquinas que manejan datos de titulares de tarjetas sin cifrar.

Así que sus dos preguntas son realmente la misma pregunta. Si el firewall está protegiendo una máquina que está cifrando los datos del titular de la tarjeta, independientemente de si está utilizando RSA / AES o TLS, está dentro del alcance.

Es común usar varios firewalls para limitar el alcance de PCI. Aquí hay un ejemplo. Digamos que usted es un minorista que tiene una sede con muchos empleados y opera varias tiendas. Cada tienda tiene una red con varias máquinas, que incluyen quioscos para clientes, una PC administradora, una impresora, algunas cajas registradoras y cada caja registradora tiene un teclado de PIN que realiza el cifrado. Usted utiliza una empresa de terceros para servir como su procesador de pagos. Para cada transacción de crédito / débito, las almohadillas PIN envían los datos de pago cifrados al procesador. Y ninguno de sus sistemas HQ obtiene los datos del titular de la tarjeta, solo obtienen los registros de pago.

Es casi seguro que tenga un firewall fronterizo que aísla la red de su empresa de Internet. Si ese fuera su único cortafuegos, ¡todas las máquinas de su empresa estarían en el ámbito de PCI! Además, piensa en esos quioscos. Si algún pirata informático irrumpe en tu kiosco, ¿quieres que pueda conectarse a tus cajas registradoras?

Entonces, para reducir el alcance (y aumentar su seguridad) en cada tienda, configura una subred que contiene solo las cajas registradoras y coloca un firewall en esa subred para aislarlo del resto de las máquinas de la tienda. Su alcance PCI ahora puede limitarse solo a esas subredes y los cortafuegos que los protegen. El cortafuegos fronterizo, aunque obviamente es una buena idea para ayudar a proteger su negocio, técnicamente queda fuera del alcance de PCI junto con el resto de sus máquinas HQ.

    
respondido por el John Deters 07.12.2013 - 17:37
fuente
0

El PCI SSC tiene an Preguntas frecuentes sobre el alcance de los datos cifrados del titular de la tarjeta:

  

Es posible que los datos cifrados estén potencialmente fuera del alcance de una entidad en particular si, y solo si, es validado (por ejemplo, por un QSA o ISA) que la entidad que posee los datos cifrados no tiene el acceso a los datos del titular de la tarjeta de texto claro o el proceso de cifrado, ni tienen la capacidad de descifrar los datos cifrados. Esto significa que la entidad no tiene claves criptográficas en su entorno, y que ninguno de los sistemas, procesos o personal de la entidad tiene acceso al entorno donde se encuentran las claves criptográficas, ni tienen la capacidad de recuperarlas.

No soy un QSA, pero siempre lo he interpretado ya que, con una segmentación adecuada, el sistema puede estar fuera de alcance.

    
respondido por el John Downey 26.07.2016 - 13:53
fuente

Lea otras preguntas en las etiquetas

¿Una simple API REST móvil necesita HTTPS? Al pagar en línea con una tarjeta de crédito, ¿qué es la "autenticación 3D" y es confiable?