Este es un problema de alcance clásico con estándares de cumplimiento. Haga que el comerciante sea plenamente responsable, pero niegue completamente todos sus esfuerzos si el cliente del comerciante no protege sus navegadores.
Sin embargo, lo que sí es cuestionable para el alcance es si el comerciante tiene representantes de CSR o empleados / contratistas / consultores de cualquier tipo (back-office, a través de inteligencia de negocios, CRM, contabilidad, oficiales u otros) utilizando un navegador u otro Aplicación para acceder a los datos de la tarjeta de pago.
He escuchado que hay una exclusión para las personas elegidas por el comerciante que acceden a los datos del titular de la tarjeta de la misma manera que lo haría un cliente. Sin embargo, esto depende del QSA (el evaluador de PCI DSS) para decidir: es su responsabilidad. discreción.
Para probar que la información anterior es precisa, permítame citar el trabajo de alcance del PCI de Gene Kim , que en una serie de diapositivas, analiza el uso de GAIT-R de IIA (responsable de COSO) para la identificación de "principios" y "controles" de cumplimiento (de los cuales PCI DSS está muy cargado). Esto se describe clásicamente como "El espíritu de la ley" versus "La letra de la ley" en la justicia penal / civil y los actos de reforma legal desde la historia de la humanidad.
En las diapositivas 35 y 37 de 2010 07 BSidesLV Movilizando el PCI Resistance 1c , está claro que:
- Los dispositivos de Categoría 3 están fuera del alcance de PCI DSS, mientras que los dispositivos de Categoría 2 y 1 están en el alcance de PCI DSS
- Los dispositivos que transmiten CHD, no pueden descifrar el CHD y tampoco están conectados a través de un segmento de red virtual / física local a un dispositivo de Categoría 1 PUEDEN SER CONSIDERADOS como una Categoría 2A, 2B, 2C o incluso una Categoría 3 dispositivos
- De acuerdo con el alcance, el cliente (o aquellos que transmiten el CHD exactamente como un cliente) se considera un dispositivo de Categoría 3 (y, por lo tanto, fuera del alcance de las PCI DSS). El truco aquí es asegurarse de que el representante de CSR (u otro empleado / contratista / consultor comercial) no esté violando ningún otro flujo de trabajo de alcance como se indica en la diapositiva 37, como el almacenamiento en caché de CHD a través del navegador (o proxy, capa de aplicación). gateway, etc.) o guardando el CHD en la funcionalidad de autocompletado de formulario HTML del navegador
- Sinceramente, creo que necesitas una cerveza por responder esto