¿Requisito de PCI-DSS para la seguridad a nivel de la aplicación?

Navega tus respuestas
0

Antes de llegar a mi empresa actual, obtuvimos los servicios de un consultor de PCI que nos brindó consejos muy específicos, aunque cuestionables, sobre los requisitos de cifrado.

El consejo en particular que sospecho es el de asegurarse de que los datos del titular de la tarjeta estén encriptados a medida que se mueven a través de nuestra red interna (separada). El método de encriptación, nos dijeron, debe estar en el nivel de la aplicación, y el nivel de transporte no está permitido. Entonces, en lugar de utilizar simplemente HTTPS para mover un archivo, tenemos que cifrar el archivo mediante PGP antes de enviarlo, y luego descifrarlo después de que llegue.

Simplemente no puedo ver en la documentación donde esto es un requisito. ¿A alguien más le han dicho lo mismo? ¿Hay una prioridad para esto?

El documento que estamos usando es el Mayo 2013 Especificaciones Lógicas de Producción de Tarjeta

    
pregunta lipidfish 07.04.2014 - 17:02
fuente

1 respuesta

2

El consejo que le dio su consultor de PCI no coincide con los requisitos de PCI. Solicite una cita que indique que se requiere "cifrado de nivel de aplicación" en toda la red. Cualquier consultor de PCI debe al menos decirle qué requisitos de DSS están citando. "Imágenes o no sucedió ..."

La Sección 4.1 de PCI DSS requiere que cifres en no es de confianza redes; Si su red interna está debidamente protegida según la Sección 1, se le permite transmitir datos PAN sin cifrar en ella *. Y el nivel de transporte se enumera explícitamente como una protección apropiada:

  

Use criptografía fuerte y protocolos de seguridad (por ejemplo, SSL / TLS,   IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante   Transmisión a través de redes abiertas y públicas.

Al almacenar datos PAN, debe protegerlos, lo que en el caso de la sección 3.4 de cifrado establece que debe usar:

  

Criptografía fuerte con procesos de gestión de claves asociados y   procedimientos

Que puede ser donde su consultor está creando un "cifrado de nivel de aplicación", pero está en el disco, no en el cable.

* Nota, aunque puedes ir sin cifrado en el backend, probablemente no deberías. Entre otras cosas, DSS 8.4 requiere que las credenciales se cifren durante la transmisión, y si está enviando los datos de PAN de forma clara, probablemente esté enviando las credenciales de forma clara.

    
respondido por el gowenfawr 07.04.2014 - 18:36
fuente

Lea otras preguntas en las etiquetas

contraseñas de Bios “fáciles” de encontrar El navegador se confunde con Windbg [cerrado]