datos confidenciales almacenados temporalmente y luego eliminados: ¿Cumple con PCI?

Question

datos confidenciales almacenados temporalmente y luego eliminados: ¿Cumple con PCI?

#1 de withoutfire (2 votos)

1

Estoy en un inicio donde tenemos soporte de chat. Los agentes de chat con clientes y datos confidenciales pueden transmitirse durante la ventana de sesión de chat. Almacenamos estos datos confidenciales en nuestra base de datos durante la sesión.

Una vez que se cierra la sesión de chat (ya sea por el Agente o el Cliente), redactamos los datos confidenciales.

Entonces, digamos que un cliente comparte su número de CC # durante el chat.

En nuestra base de datos, almacenaríamos 1111 2222 3333 4444 mientras la sesión de chat está abierta.

Una vez que finaliza la sesión de chat, los datos de CC almacenados se convierten en <num> <num> <num> <num>

¿Es esto suficiente para el cumplimiento de PCI y / o la protección de datos confidenciales?

pci-dss sensitive-data-exposure

pregunta Growler 26.04.2017 - 19:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss sensitive-data-exposure

¿Cómo funciona este manejo de encabezado con CloudFlare? [cerrado] ¿Debo preocuparme por las cuentas falsas registradas en mi sitio web?

score 2 · Answer 1

La respuesta simple es no, lo más probable es que no sea una queja con los requisitos en PCI DSS. Lo siento.

Puede obtener dos tipos de datos de tarjeta de pago, los números de cc de 15/16 dígitos (PCI llama a estos PAN) y el CCV2 de la parte posterior de la tarjeta (esta es una forma de datos de autenticación confidenciales o SAD).

No puede almacenar PAN de texto simple en una base de datos (es decir, en un almacenamiento no volátil); no cumple con el Requisito 3.4 - Haga que el PAN sea ilegible en cualquier lugar que esté almacenado (incluso en portátiles medios digitales, medios de copia de seguridad y en registros) utilizando cualquiera de los siguientes métodos ...

Por supuesto, podría tener un largo debate sobre "almacenado" y cuántos segundos hay algo en el disco antes de que se "almacene", pero la mayoría de los evaluadores igualarían cualquier almacenamiento de disco como almacenado (y también verificarán los archivos de registro). NB: si la base de datos está en la memoria RAM, entonces no está almacenada.

Además, la recepción de PAN por "chat" puede ser problemática. Si el chat es una aplicación web a través de TLS, está bien. Si es algo como IRC o Skype, entonces tiene un problema con Requisito 4.2 - Nunca envíe PAN desprotegidos mediante tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, SMS, chat). , etc.). .

Espero que esto sea útil.