PCI SAQ C 1.2.1, 1.3.5 y servidor / software remotos

Navega tus respuestas
0

Espero que alguien aquí pueda ayudarme. Estoy intentando conseguir que la pequeña organización sin fines de lucro que trabaje en PCI sea compatible, ya que hemos estado pagando $ 20 / mes adicionales en tarifas de incumplimiento a nuestro procesador desde que comenzamos a tomar la tarjeta de crédito YEARS (al parecer, yo m la única persona para ver las declaraciones).

No soy una persona de TI, hago contabilidad / facturación. Procesamos tarjetas de crédito de dos maneras. Primero, el 95% de nuestros pagos con tarjeta de crédito se ingresan en nuestro software que luego habla al procesador. Accedemos a este software a través de un servidor remoto ubicado físicamente en Denver. En segundo lugar, el 5% restante de nuestros pagos con tarjeta de crédito se ingresan en el teclado de mi computadora directamente en el sitio web del procesador (esto es para pagos recurrentes, los cuales debemos ingresar manualmente en nuestro software después de que se haya procesado el pago).

Así que mis preguntas son:

  1. ¿Estoy en lo cierto al respecto, dada la forma en que aceptamos los pagos, debemos completar PCI SAQ C?
  2. ¿Debo involucrar tanto a la gente de TI del condado con la que contratamos los servicios en nuestras oficinas como a la gente de TI del software ubicada en Denver, dada la forma en que aceptamos los pagos? Si es así, ¿necesito asegurarme de que la respuesta a cada pregunta coincida con ambas?
  3. Y lo que es más importante, cuando las preguntas a las que se hace referencia en mi título hablan de limitar el tráfico saliente (toda la información entrante está limitada por nuestro personal de TI del condado, tengo dificultades para obtener respuestas de nuestro personal de TI del software en Denver). ¿la (s) computadora (s) que usamos para procesar tarjetas de crédito deben estar completamente limitadas a solo procesar tarjetas de crédito? Esto sería un gran inconveniente, y no conozco muchas pequeñas empresas (los hoteles se me vienen a la mente de inmediato) que limitan sus funciones de computadora de esta manera. Si no entiendo bien los requisitos, ¿puede alguien explicarlos con mayor profundidad?
pregunta cmbrien 25.09.2015 - 20:50
fuente

1 respuesta

1

No puedo comentar todavía, pero responderé tan bien como pueda sin saber más sobre su configuración con respecto a la Compañía en Denver.

  1. Eso depende de lo que quieras decir con servidor remoto. Para el 95%, ¿va a un sitio web e ingresa la información de la tarjeta de crédito o está usando la herramienta de acceso remoto (Remote Desktop, Logmein, Teamviewer, etc.) para conectarse a esta máquina en Denver?

Necesitará más información sobre esta pregunta para dar una mejor respuesta.

  1. Los cuestionarios de PCI son por comerciante. Sitios adicionales entran en juego, si todos los sitios se están procesando con el mismo número de comerciante. Sin embargo, en general, la mayoría de las exploraciones de cumplimiento de PCI son por número de comerciante, que generalmente es por sitio. Wal-Mart podría tener miles de tiendas, pero cada tienda / sitio es un número de comerciante diferente, y cada tienda haría su propio cuestionario. Desearía hablar con ambos departamentos de TI sobre las preguntas que tendrá durante el cuestionario. Cortafuegos, caducidad de contraseñas, actualizaciones de AV, etc.

Sin embargo, no saber toda la información sobre su configuración con Denver hace que sea difícil dar una respuesta precisa.

  1. La pregunta con la que más puedo ayudarlo, ya que no puede ser diferente, independientemente de cómo se encuentre la configuración entre el Condado y Denver.

Cualquier computadora que procesa una tarjeta de crédito a través de Internet, debe estar en una red cerrada. El único envío / solicitud de Internet que debe realizar el dispositivo es para procesar tarjetas de crédito. Exclusiones para SO / Software / Antivirus / Firmware Updates / y algunas otras. Básicamente, no hay navegación & no debe ocurrir ningún correo electrónico en esas computadoras que procesan una tarjeta de crédito. Incluso si tiene acceso remoto a su computadora que procesa las tarjetas de crédito, ese acceso debe estar desactivado solo cuando sea necesario. Tiene que haber 0 posibilidades de que un empleado ingrese al sitio web incorrecto, haga clic en el correo electrónico incorrecto, cualquier cosa que pueda permitir que algo suceda. Cualquier otra computadora que esté en la misma red no debería estar navegando o enviando un correo electrónico.

La analogía que doy a los clientes sobre esto es:

Puede tener una casa en la que haya construido una cerca circular de ladrillo que abarque su casa. No se puede escalar el ladrillo, sin embargo, en un punto en el ladrillo hay un pequeño agujero donde se puede ver a través de él. En la vista de conformidad PCI. Has fallado.

Para hoteles / restaurantes puede ser difícil, pero eso es lo que se supone que es. Hacer todos los hoteles y amp; Los restaurantes siguen este procedimiento. No. Se supone que deben. En general, todas las ubicaciones de tarjetas de crédito que administra mi empresa (más de 100) tienen una computadora de oficina exclusivamente para uso de Internet. Las computadoras para ejecutar transacciones con tarjeta de crédito están en una red separada con un firewall instalado y muchas configuraciones de seguridad para permitir solo el procesamiento de CC y nada más. Hay varios sitios que administro, que no quieren pagar por la seguridad o no les importa. Esas personas firman una renuncia, sin responsabilizar a mi compañía.

Espero que ayude un poco, y discúlpate por no comentar primero. Si puedo obtener más información sobre su configuración con Denver, editaré mi respuesta.

    
respondido por el N. Greene 26.09.2015 - 05:59
fuente

Lea otras preguntas en las etiquetas

WebCrypto, SOP y Yubikeys Opciones de Veracrypt para protegerse contra múltiples versiones de un volumen encriptado