Cumplimiento de PCI si no está almacenando o transmitiendo datos de tarjeta de crédito

5

Tengo un producto en red que instalamos en las redes de los clientes. El dispositivo no pasa ninguno de los datos de CC, pero solo se sienta en la misma red (piense en Nest o Dropcam). Las redes de clientes a veces incluyen un dispositivo POS. Nunca recibimos, procesamos ni vemos información de la tarjeta de crédito. Sin embargo, dado que nuestro cliente es compatible con PCI, también quieren que seamos compatibles con PCI.

1) ¿El cumplimiento de PCI requiere que todos sus proveedores (es decir, yo) también sean compatibles con PCI?

2) Toda la información y los cuestionarios que he encontrado están dirigidos específicamente a organizaciones que realmente almacenan o procesan datos de pago. ¿Existe una autoevaluación para situaciones en las que no transmito datos de tarjetas de crédito, sino que me siento en la misma red que POS?

3) Si, como este question sugiere, ya soy compatible con PCI, ¿puedo obtener algo que certifique que no proceso ningún dato de tarjeta de crédito y que soy compatible con PCI? Tenga en cuenta que no creo que sea compatible con PCI solo porque no almaceno PAN. El cliente estaría en problemas si expusiera un agujero de seguridad en su red (que no lo hago, pero no tengo ninguna pieza de "certificación" que lo diga).

    
pregunta Scott 16.09.2014 - 16:21
fuente

3 respuestas

6

Como su sistema está dentro de la misma red que los sistemas cliente que pueden manejar los datos del titular de la tarjeta, su sistema puede incluirse dentro del alcance del cumplimiento del cliente. En este sentido puede considerarse un sistema conectado. Desde la página de alcance de las PCI DSS: los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos o conectados al entorno de datos del titular de la tarjeta.

Parece que su componente del sistema está dentro o conectado al entorno de datos del titular de la tarjeta (es decir, el entorno en el que se encuentra el POS u otro dispositivo que maneja los datos del titular de la tarjeta).

Parece que el cliente debe segmentar su dispositivo a nivel de red para eliminarlo del entorno de datos del titular de la tarjeta o incluir su dispositivo con el alcance de su cumplimiento. Para hacer esto, debe proporcionar instrucciones al cliente sobre cómo ubicar y mantener su dispositivo de manera segura.

Como puede iniciar sesión de forma remota en su dispositivo, puede atacar la red del cliente internamente. ¿Se ha fortalecido el dispositivo Linux, se ha actualizado, se ha habilitado el registro, se ha implementado la administración de usuarios, se han configurado las tablas de IP? ¿El acceso remoto requiere autenticación de dos factores? Cada una de estas son preguntas que un QSA planteará en relación con la seguridad y la posible amenaza / vulnerabilidad que presenta el dispositivo.

    
respondido por el AndyMac 16.09.2014 - 17:25
fuente
0

¿Almacena los datos de la tarjeta de crédito? ¿Alguna vez pasa a través de su sistema?

Si contestaste No, entonces cumples. PCI solo se aplica a aquellas empresas que manejan datos de tarjetas de crédito. Creo que hay una autoevaluación que puedes realizar que requiere poco trabajo.

enlace

espero que ayude

    
respondido por el TrinityInfoSec 16.09.2014 - 16:43
fuente
0

Si nunca ve, procesa o almacena información de PCI, no necesita estar en el ámbito de PCI DSS de su cliente.

Es posible que el QSA quiera hacer algunas preguntas solo para confirmar este estado, pero el alcance solo debe incluir información de la tarjeta.

    
respondido por el Rory Alsop 16.09.2014 - 16:43
fuente

Lea otras preguntas en las etiquetas