PCI DSS y Memcached

7

Si almaceno los datos del titular de la tarjeta (PAN, Caducidad, etc.) en un paquete de datos de Memcached, ¿es algo de lo que deba preocuparse en términos de cumplimiento de PCI DSS?

Nuestra base de datos está en un centro de datos y está cifrada. Nuestro servidor web también se encuentra en este centro de datos. Si almaceno en caché los detalles del titular de la tarjeta en un nodo del servidor Memcached que se ejecuta en la misma casilla que el servidor web, o en una máquina diferente en la misma subred que el servidor web, ¿tengo que ofuscar o cifrar estos datos almacenados en caché?

Mi pensamiento inicial es 'no' porque no estamos persistiendo los datos; todo es almacenamiento temporal.

editar : nuestra arquitectura actual es compatible con PCI-DSS; Nos consideraron conformes hace unos meses. Ahora es cuestión de permanecer así.

    
pregunta Anthony 20.12.2011 - 01:26
fuente

2 respuestas

6

Es lo suficientemente persistente para ser recuperado. No hay razón para mantener los datos de identificación personal sin cifrar. Si puede acceder a él sin una clave, también puede hacerlo un intruso.

Hazlo seguro, y será compatible. No intente hacerlo compatible agregando seguridad más adelante.

Ser compatible (aprobar su ROC) no significa mucho para ser honesto. Las compañías que realizan esa actividad tienen diferentes habilidades y, a menudo, se seleccionan en función de la probabilidad de las empresas en cuestión de obtener un pase. No es así como protege la marca de su empresa.

Si desea munición para los usuarios que lo compran, ¿qué hay de la ley de privacidad de Massachusetts? ¿Cómo está cumpliendo con sus requisitos de datos allí? ¿Qué pasa con el enlace de la UE y la cláusula de transferencia de terceros?

Cifre los datos de PII / PAN cada vez que esté sentado, configure la administración de claves adecuada y use sistemas criptográficos comprobados para hacerlo. Sea inteligente en cuanto a la protección de los datos de sus clientes y la imagen de marca de su empresa y será compatible.

    
respondido por el Ori 20.12.2011 - 02:04
fuente
2

La sección correspondiente de PCI-DSS dice:

3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
* One-way hashes based on strong cryptography (hash must be of the entire PAN)
* Truncation (hashing cannot be used to replace the truncated segment of PAN)
* Index tokens and pads (pads must be securely stored)
* Strong cryptography with associated key-management processes and procedures

enlace

La parte donde se almacena parece bastante clara: no hay excepción para almacenar datos PAN sin cifrar en una base de datos basada en RAM.

Usted dijo que su arquitectura se consideraba compatible: si tuviera un QSA que evaluara su entorno, esta sería una buena pregunta para él.

    
respondido por el Johnny 08.05.2013 - 21:35
fuente

Lea otras preguntas en las etiquetas