Alcance de PCI-DSS con tokenización

Question

Alcance de PCI-DSS con tokenización

#1 de bobince (3 votos)
#2 de bbozo (0 votos)

6

Mi organización ahora usa tokenización y ya no almacenamos ninguna información de la tarjeta de crédito.

Ahora creo que ya no necesito algunos de los siguientes controles: (puede haber otros, aunque estos son los principales)
11.1 - Pruebe la presencia de puntos de acceso inalámbricos y detecte puntos de acceso inalámbricos no autorizados trimestralmente.
** Ya no es necesario, ya que Wifi no está permitido en mi entorno y el servidor de tokenización está en un DC ** 11.2 - Ejecute análisis de vulnerabilidad de red interna y externa al menos trimestralmente ......
** Buscando reducir mis costos de escaneo PCI-DSS externos y simplemente continuar usando herramientas de evaluación de vulnerabilidad externa ** 11.3 Realice pruebas de penetración externa e interna al menos una vez al año ...
Desharía los sistemas PCI-DSS de la prueba de la pluma si fuera necesario. (Algo que no haría de todos modos)

¿Cuáles son tus pensamientos? ¿Se puede hacer una gran desconexión una vez que esté usando tokenización?
- La conexión inalámbrica no se conectará al entorno de datos del titular de la tarjeta. - Todavía necesitaré controles en el sistema de tokenización, incluidos los que mencioné anteriormente. - Si el sistema de tokenización está en mi DMZ con otros servidores que tienen una dirección IP enrutable, ¿esto significará que todos esos sistemas caerán bajo el CDE y aún será necesario escanearlos como parte de 11.2 y 11.3?

El QSA que funciona con nuestra compañía nos está diciendo que todo está todavía dentro del alcance de PCI-DSS. Recientemente, ha agregado nuestro servidor de correo electrónico en el ámbito de CDE cuando los empleados envían sus números de tarjeta de crédito personales o corporativos por correo electrónico cuando ordenan flores o vuelos. ¿Pensamientos? El problema del servidor de correo electrónico es algo que solucionaré a través de la política.

Mi amigo, que es un QSA, dijo que sí se descontinuó y es posible que ya no necesite algunos controles. Exactamente, no estoy seguro en este momento.

PCI dice "Las soluciones de tokenización no eliminan la necesidad de mantener y validar PCI DSS cumplimiento, pero pueden simplificar los esfuerzos de validación de un comerciante al reducir la cantidad de componentes del sistema para los cuales se aplican los requisitos de PCI DSS "

"Los sistemas y procesos de tokenización deben protegerse con controles de seguridad sólidos y monitoreo para asegurar la efectividad continua de esos controles "

enlace

Gracias.

pci-dss

pregunta Teddy 09.10.2012 - 13:21

fuente

2 respuestas

Lea otras preguntas en las etiquetas pci-dss

¿Puede ocurrir la enumeración de dominios NSEC para zonas con registros comodín? Concepto de autenticación para sitios servidos en otro sitio

score 3 · Answer 1

La conexión inalámbrica no se conectará al entorno de datos del titular de la tarjeta

Bueno, eso es lo que se supone que los escaneos son determinantes, ¿no?

Si el sistema de tokenización está en mi DMZ con otros servidores, todos tienen una dirección IP enrutable

Eso no suena como una buena idea. Se supone que su DMZ es una zona de búfer entre el mundo exterior y su sistema de tokenización, que debería estar en una red CDE interna protegida por sí sola.

¿Significará esto que todos esos sistemas se incluirán en el CDE y aún deberán explorarse como parte de 11.2 y 11.3?

Si no hay un punto de control / límite de red entre dos máquinas, una de ellas es el almacenamiento / procesamiento / transmisión de datos del titular de la tarjeta, entonces ambas máquinas están en el CDE, sí.

debemos considerar nuestro servidor de correo electrónico, ya que los empleados envían números de tarjetas de crédito cuando ordenan flores o vuelos.

Por favor, describe exactamente lo que está sucediendo aquí porque esto suena altamente problemático. Si los números de las tarjetas de crédito no se envían con claridad por correo electrónico, son contrarios a cualquier intento de PCI (y sentido común), y si los empleados acceden a los números de las tarjetas para enviarlos desde sus escritorios, acaba de traer todos sus escritorios corporativos a alcance también.

¿O está hablando de empleados que usan sus propias tarjetas de crédito para comprar cosas, independientemente de sus operaciones como comerciante? Si es así, este no es tu problema de qué preocuparte. (Pero aún así, ¿números de tarjeta por correo electrónico ... qué ?!)

score 0 · Answer 2

La pregunta que debe hacerse, "¿el número de tarjeta está en mi servidor",

si está utilizando la tokenización, la respuesta es probablemente sí, probablemente esté dentro del alcance, ya que para enviar cualquier tipo de autorización de tarjeta aún debe solicitar al servicio de tokenización la versión clara del PAN, lo que le permitirá acceder a sus servidores. alcance.

La tokenización le permite mantener la seguridad de la base de datos, la administración de claves, etc. fuera de su espalda, pero sus servidores aún están dentro del alcance, los PAN aún se pueden encontrar teóricamente en algunos lugares inesperados en sus registros, etc.