Visualización segura de datos PCI a través de sitios de terceros

Navega tus respuestas
0

Estoy trabajando en un proyecto que requiere que los datos protegidos por PCI (números de PIN de la tarjeta) se hagan visibles a los clientes, a través de un sitio de la compañía de terceros (no compatible con PCI).

La jerarquía es la siguiente:

  • Nosotros > Queja PCI > Proveedor de plataforma
  • Tercero > No PCI Queja > Nuestro cliente
  • Cliente > Usuario de la tarjeta > Cliente de terceros (pero somos responsables de los datos financieros)

Podemos mostrar el PIN a través de una página web (si se sirve bajo SSL) pero no podemos permitir que el PIN se pase a terceros de ninguna manera en caso de que se almacene. Por lo tanto, las llamadas REST están fuera de discusión, al igual que los iframes.

El proceso ideal sería:

  1. El cliente visita el sitio de Terceros y solicita ver el PIN de su tarjeta.
  2. El PIN se muestra (servido desde nuestro sitio) en una página servida bajo SSL.

El proceso requerido para hacer esto es difícil de entender porque:

  • Necesitamos que la solicitud de PIN [para aparecer] se realice desde el sitio de Terceros ya que el cliente es 'suyo', proporcionamos la plataforma para las tarjetas.

  • Necesitamos que se sirva bajo SSL para cumplir con el cumplimiento de PCI.

  • No podemos atender esto con una llamada REST al tercero.

  • No podemos hacer que el tercero recupere este PIN en caso de que esté almacenado o se haya escrito una aplicación para escanear y recuperar todos los PIN de sus clientes.

  • Necesitamos que todo esto se administre a través de navegadores web y de manera transparente, para que el cliente no tenga que ingresar una contraseña ni proporcionar una clave de cifrado.

Podemos mostrar el PIN en una de nuestras páginas sin marca, pero no puedo ver cómo podemos pasar los datos confidenciales necesarios (a través del sitio de terceros) para instanciar esta solicitud, sin proporcionar / dejar datos confidenciales en el sitio de terceros. .

Esto no me parece posible, sin que el cliente proporcione algún tipo de clave secreta para recuperar el PIN "directamente" a través del Sitio de terceros. ¿Pero quería preguntar, en caso de que alguien tenga alguna idea o haya experimentado problemas similares?

¡Gracias de antemano!

    
pregunta Jonny Wilson 05.01.2015 - 12:54
fuente

1 respuesta

1

Primero que todo, necesitas hablar con un QSA sobre algo como esto.

Dicho esto, creo que el documento PCI Card Production Logical Security Requirements se aplica más a su problema. Y la etiqueta es que el titular de la tarjeta debe proporcionar "algún tipo de clave secreta". Específicamente, la sección 10 Distribución de PIN a través de métodos electrónicos dice que debe validar que la solicitud viene del titular de la tarjeta:

  

e) La comunicación del PIN al titular de la tarjeta solo debe realizarse después de   Verificación del valor de identificación y autenticación asociada.   valor.

     

f) Los valores de identificación y autenticación no deben   revelar el número de cuenta.

     

g) El mecanismo o valor de autenticación debe ser diferente al valor de identificación y no debe ser un valor fácilmente asociado con el titular de la tarjeta.

     

h) La autenticación   El valor debe ser comunicado al titular de la tarjeta de tal manera que el acceso   por cualquier persona que no sea el titular de la tarjeta es detectada.

h) también implica que el titular de la tarjeta no puede pasar su valor de autenticación a través de un tercero, pero usted lo sabía.

Tiene razón en que REST o los servicios web no serían apropiados, pero un iframe probablemente sea aceptable , porque un iframe significa que la comunicación con respecto al PIN se realizará directamente entre el navegador del titular de la tarjeta y su servidor, sin pasar por el tercero. El tercero simplemente proporciona el enlace que le permite al titular de la tarjeta ir directamente a usted. iframe es probablemente la tecnología adecuada para cumplir con su requisito de que parezca que viene a través del tercero y el requisito de PCI de requerir que la transacción sea directamente entre usted y el titular de la tarjeta.

Alternativamente, puedes simplemente hacer una página de marca. Usted crea una página web con la apariencia del sitio web de sus terceros y se vincula a su página. Los titulares de las tarjetas van a su sitio, a su URL, pero parece que el tercero parece lo mismo.

Entonces, para resumir: el tercero le pasa el titular de la tarjeta a usted, a través de iframe o enlace directo. El titular de la tarjeta le envía los datos de autenticación y recupera el PIN, y termina continuando (iframe) o redirigiéndose de nuevo a (enlace directo) del sitio del tercero.

Es posible que no pueda lograr uno de sus objetivos: hacer esto " de manera transparente, para que el cliente no tenga que ingresar una contraseña ni proporcionar una clave de cifrado. " Eso no es compatible con PCI requisitos (Dicho esto, si su QSA aprobó, y el tercero pudo autenticar suficientemente al titular de la tarjeta a través de su proceso normal, y pasar pruebas criptográficas sólidas de esto como una cookie o un parámetro de solicitud, entonces tal vez podría hacerlo transparente. Pero eso es todo. donde realmente, realmente, realmente necesitas un consejo de QSA, porque tal vez eso viola 'h' arriba)

    
respondido por el gowenfawr 05.01.2015 - 13:48
fuente

Lea otras preguntas en las etiquetas

Elegir el codificador para cargas útiles en metasploit Función unidireccional para sincronización de datos