Requisitos actuales de la tarjeta PCI

Navega tus respuestas
1

Estamos utilizando un lector de tarjetas IDTECH para iPhone que no está cifrado, nuestra aplicación está basada en la web y se ejecuta dentro de una aplicación iOS para extraer los datos de la tarjeta. Luego, estamos utilizando una biblioteca de cifrado del lado del cliente para cifrar los datos de la tarjeta antes de que vaya a la puerta de enlace. No almacenamos los datos de la tarjeta en nuestra base de datos y nuestros servidores son compatibles con PCI DSS. Queremos utilizar el MSR no encriptado para poder escanear la licencia de conducir también. ¿Cumplirá este método con PCI 3.0?

    
pregunta FROE 25.06.2015 - 19:18
fuente

1 respuesta

1

En pocas palabras, no.

Básicamente, cualquier dispositivo de entrada física que "reciba" datos claros de la tarjeta (por ejemplo, mediante el ingreso de datos, tipeo, deslizar u otros métodos) debe aparecer en la lista de certificación "PTS" de PCI.

En teoría (y de manera muy concisa), esto certifica que el dispositivo utiliza formas aprobadas de cifrado, gestión de claves, etc., solo genera datos cifrados de forma segura y está a prueba de falsificaciones (hasta el punto de que cualquier manipulación destruye las claves criptográficas .)

Básicamente, el uso de un dispositivo no certificado para la entrada lo niega todo. Teóricamente podría ser posible obtener un "control de compensación" alrededor de eso, pero como cuestión práctica, eso NO va a suceder. Lo mejor es obtener un dispositivo aprobado como dispositivo de entrada (por ejemplo, Magtech tiene una línea de dispositivos que funcionan con dispositivos IOS).

Busque en la lista de PTS de PCI como punto de partida, o comuníquese con su institución financiera para obtener orientación.)

    
respondido por el user1639473 25.06.2015 - 21:42
fuente

Lea otras preguntas en las etiquetas

Cómo verificar si la aplicación de Android es vulnerable al corazón ¿Cómo se explotaría un túnel SSL?