保存データのカテゴリでキャッシング製品の使用を検討しますか?
質問する
668 次
3 に答える
1
はい。製品が何であれ、支払いカードのデータを保存、処理、または送信するものであれば、PCI-DSS の範囲内です。
そうは言っても、キャッシュ デバイスが暗号化されたデータのみを保存し、復号化に使用されるキーにアクセスできない場合は、評価の範囲外であることを QSA に同意する必要があります。
暗号化されていない支払いカード データを処理する場合、または復号化キーにアクセスできる場合は、少なくともキャッシュ デバイス用の PCI-DSS コントロールのサブセットを実装する必要があります。
于 2011-12-27T00:00:57.150 に答える
0
これは複雑な問題ですが、24 時間以上保持されたものはすべて「保管」と見なされ、カード データの処理方法について厳格な管理下に置かれます。たとえば、CV2 はありません。
ただし、データはカード取引の途中にある必要があり、取引後のリターンパスにある必要はありません。
おそらく、具体的な例と、QSA で懸念しているカード データのどのビットをどのように使用するかについて話し合う必要があるでしょう。
于 2009-06-30T10:36:05.207 に答える
0
これは複雑であることに同意しましたが、私の理解に基づいて、PCI-DSS から引き出せるプリンシパルがいくつかあります。
- カード所有者データは、オープン ネットワークを介して送信する際に暗号化する必要があります。したがって、ローカル キャッシュがあり、キャッシュからのデータがオープン ネットワークを介して送信される場合は、その領域に対処する必要があります。
- 必要なものだけを保管してください。CV2を含むカード所有者データの一部が必要ない場合は、有効期限が切れてから、保存データとは見なされない場所に保存されていても保存しないでください。
私の見解では、キャッシュがカード所有者のデータを保存している場合、標準の粒度に反しているようです。データの保存に関する意図は (とりわけ)、保存、使用、転送を機密データに実際に必要な場所に限定することです。キャッシュ コンテンツに関する詳細情報がなければ、なぜ機密データをキャッシュする必要があるのか想像できません。
私は Cheekysoft 氏の意見に同意します。QSA と率直に話し合うべきです。なぜなら、彼/彼女は一度詳細を理解したことがあれば、何らかのガイダンスを提供できると確信しているからです。
于 2010-04-15T10:38:52.197 に答える