PCI: ¿Es necesario que CHD o SAD aún estén protegidos después de implementar una solución P2PE?

Navega tus respuestas
1

La promesa de una buena (incluso certificada) solución PCI P2PE v2 es que el comerciante no tiene acceso a las claves que cifraron los Datos del Titular de la Tarjeta (CHD) y los Datos de Autentificación Sensible (SAD), lo que permite a algunos decir el ahora El CHD encriptado y el SAD encriptado ya no necesitan estar protegidos según PCI DSS y permitir que los datos encriptados fluyan alrededor de los sistemas backend (donde no se hubieran almacenado antes de P2PE) ahora está bien.

Mi pregunta es si esto es cierto? Y para aquellos que dicen que sí, ¿qué pasa con el requisito de PCI DSS 3.2 de que el SAD no se almacene después de la autorización, incluso si está cifrado? Este último punto es lo que realmente me interesa. Debido a que la especificación P2PE v2 dice que no anula PCI DSS. ¿Pensamientos?

    
pregunta Mark E 19.02.2016 - 15:46
fuente

1 respuesta

1

Como con la mayoría de las cosas de PCI, es una cuestión de alcance.

Si la solución P2PE encripta el CHD / SAD con una clave que no es accesible para el comerciante , entonces el manejo por parte del comerciante de ese blob encriptado no está sujeto a PCI DSS. Pueden y lo almacenarán y lo transmitirán, sin implicaciones de alcance de PCI, en su camino hacia el proveedor de servicios o un tercero que tenga la clave correspondiente. Ese proveedor de servicios probablemente lo descifre, lo tokenize y le devuelva un token al comerciante para su uso posterior. Obviamente, el proveedor de servicios está dentro del alcance y tiene que manejar los datos en línea con el PCI DSS, ya sea encriptado o no encriptado.

La forma en que has redactado la pregunta es un poco problemática. La CHD cifrada y la SAD cifrada siempre están dentro del alcance de la parte que posee la clave . Si no tiene la clave, no están cifrados CHD / SAD; son manchas opacas.

Y el punto central, por supuesto, es que la solución P2PE debe cifrarse antes de que el comerciante pueda acceder a los datos y con las claves que están fuera del alcance del comerciante. Por lo tanto, un dongle de hardware que se conecta a su teléfono y encripta es bueno; una llave de hardware que se conecta a su teléfono y entrega los datos de la tarjeta a una aplicación de su teléfono para cifrar, no.

Como de costumbre, se aplica el descargo de responsabilidad de IANAQSA.

    
respondido por el gowenfawr 19.02.2016 - 16:39
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es usar un punto de acceso WAP54G de Linksys? Comenzó a ver las llamadas de la función jQuery en las solicitudes de URL, ¿qué es esto?