Nuevos estándares de seguridad de tarjetas de crédito con respecto al cumplimiento PA-DSS

12

Los nuevos estándares de tarjetas de crédito, incluyendo PA-DSS, pueden ser bastante confusos para las compañías de software.

Mi pregunta es la siguiente: si su compañía de software diseña un sistema de software POS (como nosotros) que utiliza un procesador de tarjetas de crédito de terceros instalado localmente (que es compatible con PA-DSS) para cifrar, transmitir y procesar las tarjetas de crédito, ¿Nuestro sistema POS tiene que pasar la certificación PA-DSS entonces?

Los usuarios finales ingresan los datos en nuestra pantalla de UI / Pago diseñada en nuestra aplicación. Nunca almacenamos esta información en ningún momento en una base de datos, archivos de texto, etc. de ningún tipo. La información se toma de la interfaz del usuario y se carga en las variables de la RAM y luego se pasa al sistema de software de terceros a través de su API instalada localmente. El procesador de terceros luego encripta, envía y procesa la información de la tarjeta de crédito y cumple con las PA-DSS.

Entonces, debemos serlo ya que no almacenamos, transmitimos ni procesamos los datos de la tarjeta de crédito. Estamos transmitiendo la información de la tarjeta de crédito solo desde la RAM a una llamada API.

La información adicional a continuación se agregó a la pregunta - 2011

Me han dicho que no es posible que un sistema de software sea compatible con pci dss. Me han dicho que el cumplimiento de PCI DSS incluye el entorno total del comerciante, incluida la infraestructura de red, el análisis de virus, las limitaciones de acceso a Internet de los servidores que contienen datos de titulares de tarjetas y más. Tengo entendido que un sistema de software, como parte de la certificación propia o que se adhiere a los estándares solo puede ser compatible con pa dss . Al menos, este es mi entendimiento personal actual de todos modos.

El problema con los requisitos de pa dss para los desarrolladores de software y las compañías de software es que no existe una definición adecuada de la palabra "transmitido".

Las normas dicen:

"PCI DSS se aplica donde se almacenan, procesan o transmiten los datos de la cuenta"

Bueno, en base a eso, no almacenamos ninguna información del titular de la tarjeta, no procesamos ninguna información del titular de la tarjeta y no transmitimos ninguna información a través de una red o de Internet.

El problema es que "Transmitido" puede interpretarse literalmente como cualquier cosa y debe definirse de manera adecuada. La transferencia de datos de un byte a otro se puede transmitir, moviéndolos de un dominio de aplicación a otro, moviendo datos a través de una red local o moviéndose a través de Internet.

Al leer los estándares, tengo la impresión de que las personas que escribieron estos estándares para el cumplimiento de pa dss no están muy familiarizados con el software y que su intención real era que el término "transmitido" significara mover datos a través de una red o El internet, que por supuesto no estamos haciendo.

No creo que hayan significado "transmitido" para significar, no muevas datos de una ubicación de dirección de memoria a otra o no pases datos a una biblioteca dll compatible con pa-dss.

Espero que debido a que no estemos almacenando, procesando o transmitiendo datos a través de una red o de Internet, no se esperaría que pasáramos una certificación de $ 20,000 solo para poder llamar a una biblioteca de DLL segura de las PA DSS para procesar nuestras tarjetas. .

    
pregunta Matt 25.05.2011 - 21:46
fuente

3 respuestas

9
  

Entonces, necesitamos ser ya que no somos   Almacenamiento, transmisión o procesamiento.   Los datos de la tarjeta de crédito. Estamos   transmitiendo la tarjeta de crédito   información solo de RAM a una API   llamada.

Su segunda declaración contradice la primera y, lo que es más importante, contiene la respuesta a su pregunta.

PCI DSS v2 indica lo siguiente,

  

PCI DSS se aplica dondequiera que los datos de la cuenta   Se almacena, procesa o transmite.   Datos de la cuenta se compone de titular de la tarjeta   Datos más autenticación sensible   Datos, como sigue:

     
  • Los datos del titular de la tarjeta incluyen:   
    • Número de cuenta principal (PAN)
    •   
    • Nombre del titular de la tarjeta
    •   
    • Fecha de caducidad
    •   
    • Código de servicio
    •   
  •   
  • Los datos de autenticación sensibles incluyen:   
    • Datos de banda magnética completa o equivalente en un chip
    •   
    • CAV2 / CVC2 / CVV2 / CID
    •   
    • PINs / bloques de PIN
    •   
  •   

y supongo que la transmisión del número de la tarjeta de crédito (que constituye el manejo de los datos del titular de la tarjeta) a la aplicación de un tercero también haría que su software POS sea compatible. La pregunta es si su software debe ser compatible con PCI DSS o PA-DSS, y eso se aborda en la sección sobre la "relación entre PCI DSS y PA DSS ":

  

tenga en cuenta lo siguiente con respecto a las PA-DSS   aplicabilidad:

     
  • PA-DSS se aplica a las aplicaciones de pago que normalmente se venden   e instalado "fuera de la plataforma" sin   mucha personalización por software   vendedores.
  •   
  • PA-DSS no se aplica a las aplicaciones de pago desarrolladas por comerciantes   y proveedores de servicios si se utilizan solamente   en casa (no vendido, distribuido, o   licenciado a un tercero), ya que este   aplicación de pago desarrollada internamente   sería cubierto como parte de la   comerciante o proveedor de servicios   cumplimiento normal de PCI DSS.
  •   
    
respondido por el Vineet Reynolds 26.05.2011 - 07:35
fuente
8

¿Dice que su aplicación toma los datos de la tarjeta de crédito para pasar a otra aplicación?

Esto significa que lo está manejando; clasificaría lo que está haciendo como transmisión de datos de CC de acuerdo con la guía de PA (partes relevantes en negrita):

El alcance de la revisión PA-DSS debe incluir lo siguiente:

  • Cobertura de todas las funciones de la aplicación de pago, incluidas, entre otras,

    1) funciones de pago de extremo a extremo (autorización y liquidación)

    2) entrada y salida

    3) condiciones de error

    4) interfaces y conexiones a otros archivos, sistemas y / o aplicaciones de pago o componentes de la aplicación

    5) todos los flujos de datos del titular de la tarjeta

    6) mecanismos de encriptación

    7) mecanismos de autenticación

  • Cobertura de la guía que se espera que el proveedor de la aplicación de pago proporcione a los clientes y revendedores / integradores (consulte la Guía de implementación de PA-DSS más adelante en este documento) para garantizar

    1) el cliente sabe cómo implementar la aplicación de pago en un PCI DSS- manera obediente y

    2) se le dice claramente al cliente que ciertas aplicaciones de pago y configuración del entorno pueden prohibir sus PCI DSS conformidad.

    Tenga en cuenta que puede esperarse que el proveedor de la aplicación de pago proporcione dicha orientación incluso cuando la configuración específica

    1) no puede ser controlado por el proveedor de la aplicación de pago una vez que el cliente haya instalado la aplicación o

    2) es responsabilidad del cliente, no del proveedor de la aplicación de pago.

  • Cobertura de todas las plataformas seleccionadas para la versión de la aplicación de pago revisada (se deben especificar las plataformas incluidas).

  • Cobertura de herramientas utilizadas por o dentro de la aplicación de pago para acceder y / o ver datos de titulares de tarjetas (herramientas de informes, herramientas de registro, etc.)

(datos de enlace )

    
respondido por el Rory Alsop 26.05.2011 - 00:59
fuente
2

si su aplicación toca los datos de pago, está dentro del alcance de las PA-DSS. Algunas soluciones de POS muestran una ventana separada para pagos que se incluyen en la aplicación de terceros. El tercero y el hardware adjunto tocan el pago y envían el código de respuesta a la aplicación del comerciante para que pueda completar la venta. Esto saca a PA DSS fuera de alcance. PCI DSS siempre está dentro del alcance de alguna manera, pero la carga se puede reducir con aplicaciones de pago de terceros. Las normas están en continua evolución.

    
respondido por el B2Bpayments Expert 08.05.2013 - 18:30
fuente

Lea otras preguntas en las etiquetas