¿Es esta configuración compatible con PCI?

8

Pregunta: ¿Hay alguna forma de almacenar la información de la tarjeta de crédito en un servidor de alojamiento compartido Y ser compatible con PCI?

Aquí está la configuración:

1) SSL se está implementando para todo el proceso de pago y para la sección de administración del sitio del cliente.

2) La información de la tarjeta de crédito se almacena en el servidor (un plan de alojamiento compartido) en una base de datos MYSQL. Está encriptado.

3) El cliente accede a un panel de administración protegido por contraseña e imprime la tarjeta de crédito desde su sitio web.

4) El cliente luego ejecuta manualmente la información de la tarjeta de crédito a través de un terminal y borra esta información de la tarjeta de crédito del servidor.

    
pregunta user1750 20.08.2011 - 02:44
fuente

7 respuestas

6

El cumplimiento de PCI es un poco complicado. En primer lugar, con el alojamiento compartido, necesita que el proveedor en el que se encuentra cumpla con todos sus requisitos relevantes. Consulte ¿Alguien ha logrado el cumplimiento de PCI en AWS?

Segundo, quien tenga un terminal que esté procesando tarjetas es responsable de quejas. Parece que en esta circunstancia, usted no es el procesador y no tiene un acuerdo con una compañía de tarjetas de crédito. En ese sentido, no es necesario que cumpla con las normas (ADVERTENCIA ENORME)

Sin embargo , la persona con el terminal debe ser compatible, y todo lo que use en el proceso de manejo de las tarjetas (incluido usted como tercero) debe lograr el cumplimiento. El cumplimiento requiere una revisión activa, cuya profundidad depende del volumen de transacciones manejadas.

De manera más crítica, me pregunto en qué circunstancia está usted, ya que estaría almacenando números de tarjetas de crédito y no procesándolos en realidad.

El cumplimiento de PCI tiene que ver con el volumen de transacciones procesadas. Las tiendas de menor volumen no tienen que preocuparse mucho. Las compañías de gran volumen solo son compatibles con PCI si cumplen todas las normas especificadas y son aprobadas por un consejo de PCI auditor aprobado VISA, por ejemplo, especifica aquellos que manejan 6 millones de transacciones al año.

Hay una guía para comerciantes en enlace

    
respondido por el Jeff Ferland 20.08.2011 - 05:15
fuente
4

Absolutamente positivamente no

El almacenamiento de los detalles de la tarjeta solo está aprobado para ciertas configuraciones, mucho más avanzado que esto.

Hacer esto como se describe no solo no sería una queja de PCI, sino que sería ilegal en muchos países conforme a varias leyes de privacidad y comercio (muchas de las cuales difieren al PCI SSC para políticas y regulaciones)

Además, es casi seguro que una infracción del servidor de MSA para procesar los pagos a través de un terminal que se obtuvieron de esta manera. Dicha infracción se puede regir por un recurso de multa o acción legal.

    
respondido por el Dave 21.08.2011 - 06:29
fuente
2

No es lo ideal, y para ser sincero, parece que estás violando OWASP a9 . El proceso de verificación no tiene sentido, el problema es derramar su token de autenticación ( LA COOKIE ) sobre texto sin formato.

    
respondido por el rook 20.08.2011 - 20:58
fuente
2

Si está tomando la información de CC y luego la está ejecutando a través de un terminal, ¿significa que está almacenando el CVC / CVV? No está permitido almacenar eso después de la autorización por CUALQUIER razón bajo el PCI DSS.

    
respondido por el getahobby 21.08.2011 - 04:56
fuente
1

Sería complicado, pero en resumen, esta configuración no sería compatible. Para empezar, según la información limitada que se proporciona, está almacenando los datos de la tarjeta en una zona con acceso a Internet, en lugar de en un sistema interno. Hay muchas otras cosas erróneas con esta configuración (interfaces de administración, administración de claves para el cifrado, etc.), pero el almacenamiento de datos es evidente.

También hay requisitos adicionales para los proveedores de alojamiento compartido que deberían ser validados. Bajo PCI, el alojamiento compartido no es realmente apropiado para otra cosa que no sea una página de comerciante que luego redirige a una pasarela de pago compatible. ¿Por qué tu cliente no está haciendo esto?

    
respondido por el bdg 08.09.2011 - 00:20
fuente
1

Todas las buenas respuestas. PCI dice que si está almacenando datos de tarjetas de crédito en cualquier forma que necesite, como mínimo, un ASV para escanear su sistema en busca de vulnerabilidades. Si llega a un nivel 1 o 2 (según su nivel de transacción) necesitará un QSA para hacerlo. La conclusión es que si está almacenando datos de tarjetas de crédito de cualquier manera, es un riesgo para todos. Puede hacerlo, pero los costos para validar sus sistemas podrían ser prohibitivos, dependiendo del volumen que esté haciendo.

    
respondido por el Greg 09.03.2012 - 18:34
fuente
1

Desafortunadamente, como se dijo anteriormente, la respuesta es "No"

Para lograr el cumplimiento total de PCI, debe cumplir con muchos requisitos muy específicos. La lista completa se puede encontrar aquí:

enlace

Algunos de estos requisitos se relacionan con la forma en que administra sus servidores, otros hablan de la distribución de roles internos, etc.

Por ejemplo, la sección 9.1.1 dice:

"Use cámaras de video y / o mecanismos de control de acceso para monitorear el acceso físico individual a áreas sensibles. Revise los datos recopilados y correlacione con otras entradas. Almacene durante al menos tres meses, a menos que sea diferente restringido por la ley ". [esto obviamente habla de servicios de acceso]

Elijo centrarme en esta sección para mostrar que la complicidad de PCI no es un problema "puramente técnico".

Habiendo dicho eso, en un sitio técnico, probablemente querrá tomar nota de la sección 6.6 que requiere uno de los siguientes:

  • Revisar las aplicaciones web de orientación pública mediante manual o automatizado herramientas o métodos de evaluación de seguridad de vulnerabilidad de la aplicación, a Al menos anualmente y después de cualquier cambio.
  • Instalar un firewall de aplicación web frente a las aplicaciones web orientadas al público.

Esta es probablemente la sección más exigente de toda la factura, ya que requiere que tengas un WAF en su lugar o que realices controles de rutina después de (y esto es importante) CADA CAMBIO realizado en tus aplicaciones web.

En otras palabras, pura pesadilla ...

Esta sección es lo que aleja a muchos propietarios de sitios web de pymes de PCI DDS y a un proveedor de facturación externo, ya que los costos de instalación y mantenimiento son simplemente demasiado altos. (WAF costará miles de dólares, incluso antes de los costos de mantenimiento, y las verificaciones de rutina después de cada cambio no son una opción, e incluso si lo es, viene con un costo acumulativo aún mayor)

Recientemente se puso a disposición una solución asequible para este problema a través de WAF compatible con PCI basada en la nube.

La idea aquí es la de "uso compartido" y "economía de escala". En este escenario, la protección de WAF se distribuye a través de la nube a una comunidad de usuarios (sitios web) y cada comunidad miembro obtiene todas las funciones y actualizaciones de WAF, pero solo paga una fracción del precio total.

Esto reduce considerablemente los costos iniciales de instalación / compra y también elimina todos los costos de mantenimiento adicionales (ya que un equipo de seguridad centrado opera y actualiza el WAF para todos los usuarios de la nube).

También proporciona una estandarización completa y promete una calidad de mantenimiento muy alta (muy importante en un entorno de seguridad en constante cambio pero no alcanzable sin una persona / equipo de seguridad dedicado)

(descargo de responsabilidad: trabajo para la empresa que proporciona esta solución)

    
respondido por el Igal Zeifman 17.07.2012 - 09:42
fuente

Lea otras preguntas en las etiquetas