Requisito de registro en PCI DSS para la aplicación interna

Question

Requisito de registro en PCI DSS para la aplicación interna

#1 de gowenfawr (3 votos)

0

Recientemente tuvimos una evaluación de Gap de PCI, y el auditor solicitó mostrar el registro de la aplicación, pero teníamos un registro de la aplicación muy básico que solo almacena eventos y cualquier excepción. Pero el auditor nos dijo que la solicitud de transacción & el registro de respuestas debe estar almacenado. Ahora podemos hacerlo, pero al hacerlo almacenaremos los detalles de la tarjeta (que están encriptados), lo que queremos evitar, ya que no queremos almacenar los detalles de la tarjeta. Entonces, ¿qué quiero saber si es requerido por el PCI que debemos almacenar el cuerpo de la publicación de la solicitud, incluso si contiene los datos de la tarjeta cifrada?

Lo siento si he hecho esta pregunta en el lugar equivocado pero no conocía ningún otro lugar para hacer tal pregunta, Gracias.

pci-dss

pregunta Prashant 25.08.2018 - 09:36

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss

Por qué adclick.g.doubleclick.net escucha en todos los puertos [cerrado] ¿Es posible descifrar la contraseña hash de Joomla?

score 3 · Accepted Answer

[es requerido] por el PCI que debemos almacenar el cuerpo de publicación de la solicitud, incluso si contiene datos de la tarjeta cifrada?

No, no hay ningún requisito de PCI DSS para almacenar el cuerpo POST de la solicitud entrante. De hecho, aunque hay una sección completa del DSS (§10) dedicada al registro, se refiere al registro del sistema y de seguridad, no al registro transaccional.

El registro transaccional se menciona en gran parte en §3, principalmente para prohibir el almacenamiento de datos confidenciales sin cifrar (seguimiento, CVV, PIN, ...) en los registros de transacciones.

Creo que su auditor tiene un punto razonable de que necesita un registro transaccional, pero que no es necesario que incluya datos de solicitud o respuesta sin procesar. Debe registrar cosas como el tiempo, el origen, la búsqueda de transacciones internas y la respuesta (como en "éxito" o "error", no en el cuerpo de la respuesta).

Este tipo de registros admiten procesos comerciales normales, como "Hey, IP 1.2.3.4 envió una transacción fraudulenta a las 12:34:56; dígame cuántas transacciones se realizaron ese día y si tuvieron éxito o no".