3

私はソフトウェア エンジニアであり、現在 PCI PA-DSS に準拠する必要がある別の支払いアプリケーション (私の 3 つ目) に取り組んでいます。PA-DSS のドキュメントを再検討していますが、TLS とユーザー/パスを使用できたのに、過去にアプリケーションのセキュリティについて過労したのではないかと考えています。そこで、PA-DSS セキュア アプリケーションを実装する場合の私の質問は次のとおりです。

  1. 認証と通信のセキュリティには、TLS + ユーザー/パスがあれば十分ですか?

  2. PA-DSS 標準のどの部分が、Web メソッド呼び出し間のメッセージ ハッシュとローリング ハッシュの実装の必要性を正当化しますか? TLS は信頼できるメッセージを実装しますが、メッセージ間のローリング ハッシュと永続的な呼び出し元は実装しません。ローリング ハッシュを実装すると、(PA-DSS の観点から) 違いが生じますか?

  3. 支払い処理アプリケーションが PII 情報を保存し、異なる会社にサービスを提供する場合 (会社 A と会社 B がそのようなアプリケーションでアカウントを持つことができることを意味します)、PII 情報を同じ DB に保存できないという特定の要件はありませんが、過去には、PA-QSA はこれが問題であると主張してきました。問題は、これが本当に必要かということです。何千ものクライアントとプロセッサを持つ会社である Authorize.NET が、クライアント企業ごとに処理されたクレジット カードを格納するための異なるデータベースを持っているとは思えません。

前もって感謝します!

更新 #1:

  • DMZ とセキュア ゾーンの両方にあるすべてのページと Web サービスが、すべての通信チャネル、ページ、およびサービスに対して HTTPS を持つと仮定します。

  • #3 の問題は、機密情報の保管場所やセキュリティに関するものではありません。この質問は、同じデータベース内のさまざまなソース (たとえば、AT&T や Verizon などのクライアント) からの機密情報を共有する能力に疑問を投げかけるものです。

4

1 に答える 1

3

ここにはいくつかの問題があります。

1) ユーザー名とパスワードだけに TLS を使用することは依然として脆弱です。これはowasp a9の違反であり、firehseep スタイルの攻撃を使用してシステム上の任意のアカウントをハイジャックするのは些細なことです。

PA-DSS 2.0 が owasp トップ 10 全体を具現化していないことは知っていますが、要件 12.1 に注意する必要があります。

12.1 Web ベースの管理およびその他の非コンソール管理アクセス用の SSH、VPN、または SSL/TLS などのテクノロジを使用して、すべての非コンソール管理アクセスを強力な暗号化で暗号化するよう顧客に指示します。

これには、管理用の http インターフェイスが含まれます。

2) PA-DSS は、VPN や TLS/SSL などの実際のトランスポート層セキュリティを使用することを推奨しています。ハッシュをローリングする必要があるとは思いません。正直なところ、これはあまり安全な設計ではありません。このようなトラフィックには、完全なトランスポート層の保護が必要です。

3) 要件 9 を忘れないでください。

9.インターネットに接続されたサーバーにカード会員データを保存してはなりません

于 2011-03-16T16:42:31.333 に答える