Esquema de administración de claves en PHP que cumple con NIST SP 800-57

Navega tus respuestas
8

Estamos trabajando para lograr el cumplimiento de la norma SAQ-D PCI y en el camino descubrimos cosas nuevas cada día. Hoy: Administración de claves

Me pregunto si hay soluciones de código abierto o comerciales de PHP disponibles que implementen un esquema de administración de claves que cumpla con el estándar de seguridad PCI DSS.

Estaremos almacenando la tarjeta y será necesario que tengamos una clave de cifrado que es NIST SP 800-57 compatible. He estado buscando esto, pero no puedo encontrar ningún código de muestra o incluso una sola clave válida.

    
pregunta Nimbuz 10.12.2012 - 23:08
fuente

2 respuestas

4

NIST SP 800-57 es un estándar largo y muy general, que se aplica principalmente a detalles como el propósito clave, la duración, la vida útil y otros detalles que generalmente son independientes de la aplicación en uso. Tal vez debería revisar esa documentación de estándares, identificar los requisitos relevantes para su aplicación y limitar su pregunta para reflejar los requisitos específicos que su aplicación necesita implementar.

Tenga en cuenta que encontrar una aplicación escrita específicamente para implementar las mejores prácticas de administración de claves y contraseñas no tiene ningún sentido, ya que la administración de claves y contraseñas debe integrarse en la aplicación que realmente usa Las contraseñas y claves, en lugar de una solución independiente. Por lo tanto, no está claro qué es lo que una aplicación específicamente para aplicar la duración de la clave, la longitud, etc., haría , y cómo encajaría en su flujo de trabajo general.

También las prácticas clave de administración son tanto sobre la configuración, el uso y la implementación de su aplicación como sobre el código en sí, y probablemente mucho más.

    
respondido por el tylerl 16.12.2012 - 17:20
fuente
3

Si bien PCI DSS no requiere específicamente el cumplimiento con NIST SP-800-57 para la administración de claves, hace referencia al NIST y a otros estándares internacionales en esta área (consulte el Glosario y la Guía de navegación de PCI DSS). La implementación de una solución de administración de claves que está certificada por NIST ayuda en gran medida a cumplir con las PCI DSS. Como mínimo, debe buscar una Validación FIPS-140-2 del administrador de claves. Las soluciones de proveedores que están validadas se pueden encontrar aquí:

enlace

Debe tener precaución con respecto a las reclamaciones de los proveedores para el cumplimiento con FIPS-140-2. No es suficiente que un componente clave de administración esté certificado por FIPS-140-2. Si la solución del proveedor no está en el sitio web de NIST, no está validada por NIST.

PCI DSS hace referencia a otras mejores prácticas de administración clave como el control dual, la separación de tareas y el conocimiento dividido. Estos se describen razonablemente bien en la guía de navegación de PCI DSS. Vale la pena tomar una lectura rápida. Estos conceptos también provienen de las publicaciones de NIST y las mejores prácticas de seguridad.

    
respondido por el Patrick Townsend 18.12.2012 - 04:20
fuente

Lea otras preguntas en las etiquetas

¿Las preguntas de seguridad en las computadoras nuevas agregan seguridad en los sitios web bancarios? ¿Cómo mitigar el riesgo de una violación continua de la seguridad del servicio de integración?