Cumplimiento con PCI - Aplicaciones móviles encriptadas

Navega tus respuestas
0

Mi empresa (atención médica) pasó por una auditoría de PCI y necesita resolver algunos problemas importantes. Nuestras sucursales recopilan CHD en papel y las guardan en un disco de red como un pdf al que nuestra oficina corporativa accede para ingresar en Paymentech y cobrarles los cargos semanales que cambian constantemente. Obviamente, eso se marcó, principalmente para la transmisión sin cifrar a través de escaneo para enviar por correo electrónico al escritorio donde se guardó el pdf en la unidad. Las dos opciones analizadas fueron continuar con el papel y cifrar directamente desde el escáner de copias de la sucursal y guardar en un servidor seguro directamente o utilizar una aplicación de ipad móvil que encripta el CHD que está correctamente incrustado en la aplicación y enviarlo a nuestros servidores seguros. No he encontrado ningún escáner de copia con opción de cifrado ni he encontrado una aplicación que envíe datos cifrados y los elimine del iPad inmediatamente.

¿Alguna idea sobre cómo asegurar esta CHD a través de la opción 1 o 2 o la suya propia? Gracias

*** Para CntrlDot: tiene razón, otro gran problema es la necesidad de conservar el CHD que se recopila en el campo antes de que se creen los cargos. Además, la tarjeta de crédito a veces no está presente y CHD se entrega por teléfono al representante de ventas. Así que la opción de deslizar no cubrirá lo que hacemos. Acabo de descubrir que estamos bloqueados en los escáneres Xerox, que no puedo encontrar ninguna opción de cifrado inmediata. Sigo mirando el uso de la opción ipad que elimina el papel de flotar, pero no puede encontrar una aplicación que encripta, envía y luego elimina. Gracias por cualquier respuesta.

    
pregunta John Winters 08.10.2014 - 02:45
fuente

2 respuestas

2

Mi consejo para ti es, arranca la curita y vuélvete moderno .

Es difícil juzgar sin saber más sobre su situación (¿quién está recolectando la CHD? ¿Qué entorno? ¿En una oficina? ¿Por teléfono? ¿En la calle?). Pero la forma más fácil de hacer que todo desaparezca es ir a través de dispositivos móviles basados en dispositivos móviles que cifrarán antes de que la información llegue a su dispositivo y se los envíe. Si nunca tiene datos de tarjeta no cifrados, no tiene que preocuparse porque Mucho, y tienes menos alcance PCI.

Soy consciente de Roam y Cuadrado que hace esto sin pensarlo, y hay otras compañías que están haciendo lo mismo. Habilitar el dispositivo móvil es el nuevo negro.

¿Podría agregar controles de compensación para facilitar su solución existente? Por supuesto. Google rápidamente me muestra que Ricoh tiene un dispositivo cuyo escáner puede

  

Proteja los documentos escaneados confidenciales o confidenciales con seguridad   características, incluida la transmisión de PDF encriptado.

Algunos documentos para eso aquí .

Pero suena como si tuvieras implementados algunos métodos de jurado, y eso es lo que atrae a los auditores (bueno, eso y la falta de cifrado). Si un jurado controla los controles sobre una solución de jurado, no se está haciendo ningún favor.

    
respondido por el gowenfawr 08.10.2014 - 04:04
fuente
1

La solución ideal siempre evita almacenar datos de la tarjeta en forma electrónica. Sé que muchos procesadores de pagos tienen ahora una funcionalidad que le permite almacenar tarjetas con ellos en los perfiles de los clientes. Luego, cuando necesite cargar la tarjeta, puede simplemente sacar al cliente e ingresar la cantidad a través de la interfaz de administración que proporciona el procesador. No estoy muy familiarizado con Paymentech, pero una rápida búsqueda en Google para este tipo de servicio me ayudó:

Pasarela de pago orbital de Chase Paymentech

Consulte la sección sobre Gestión de perfiles de clientes. Suena como que ofrecen lo que estoy hablando.

Creo que la mejor y más segura solución para usted es idear un proceso que permita a los agentes tomar la información de pago en el teléfono, crear el perfil con el número de la tarjeta y luego la parte de facturación podría acceder a ese perfil para realizar el cargo. la tarjeta cada semana. Esto elimina la transmisión de archivos PDF, así como el almacenamiento electrónico de datos de la tarjeta.

    
respondido por el Timee 09.10.2014 - 19:31
fuente

Lea otras preguntas en las etiquetas

¿Puede emitir un certificado de entidad final con SHA-1 una CA intermedia que tenga SHA-256? ¿Qué tan seguros son realmente los dispositivos USB encriptados? [cerrado]