web-dev-qa-db-fra.com

On me dit que mon «réseau» n'est pas compatible PCI. Je n'ai même pas de serveur! Dois-je me conformer?

Nous sommes une entreprise de brique et de mortier ... littéralement. Nous sommes des maçons en briques. À notre bureau, nous nous connectons à Internet via notre modem câble fourni par Spectrum Business.

Notre trésorier utilise un lecteur de carte Verifone vx520 pour traiter les paiements par carte de crédit. Il se connecte via Ethernet. Nous ne stockons pas les données de carte de crédit.

Nous avons reçu un rapport de vulnérabilité indiquant que nous n'étions pas conformes PCI.

Ils ont scanné notre modem câble.

Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability
Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0
Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)

Je ne comprends pas ce qu'ils signifient. Nous n'avons pas de serveur ou de boutique en ligne ou quoi que ce soit. On m'a dit qu'ils ont scanné notre réseau et c'est ce qu'ils ont trouvé. Ils nous ont dit de contacter le FAI pour résoudre le problème.

Comment le FAI est-il censé obtenir un certificat SSL installé sur un modem câble? J'ai appelé notre FAI et il ne savait pas quoi me dire.

Nous utilisons simplement le lecteur de carte et il se connecte à notre processeur de paiement.

Suis-je censé faire quelque chose ici? Est-ce que cela s'applique à nous?

105
user3512967

À notre bureau avec connexion à Internet via notre modem câble fourni par Spectrum Business.

Notre trésorier utilise un lecteur de carte verifone vx520 pour traiter les paiements par carte de crédit. Il se connecte via Ethernet. Nous ne stockons pas les données de carte de crédit.

On dirait que vous tombez sous SAQ B-IP (et vous serez amusé que le mnémonique soit que "SAQ B-for-Brick-and-Mortar"):

SAQ B-IP a été développé pour répondre aux exigences applicables aux commerçants qui traitent les données des titulaires de carte uniquement via des dispositifs autonomes de point d'interaction (POI) approuvés par PTS avec une connexion IP au processeur de paiement

On dirait que quelqu'un a effectué une analyse externe ASV ("Approved Scanning Vendor") sur votre adresse IP connue et a découvert que le modem câble n'était pas, sans surprise, à la hauteur.

Suis-je supposé faire quelque chose ici? Est-ce que cela s'applique à nous?

Oui, cela s'applique à vous, et à bien d'autres choses en plus, qui sont toutes décrites dans le questionnaire d'auto-évaluation ci-dessus. Et si vos autres systèmes de bureau - ordinateurs de bureau, imprimantes, peu importe - sont également installés sur le même réseau derrière ce modem câble, les exigences de la SAQ s'appliquent également à ceux-ci. Des choses comme les correctifs et les contrôles d'accès.

Pour l'instant, vous devrez continuer à travailler avec votre FAI. Ils doivent soit mettre à jour le modem, le mettre à niveau, soit le faire cesser d'accepter les connexions depuis Internet en général.


Pour décomposer ces messages d'erreur pour vous:

Part 2b-1. 38173 - SSL Certificate - Signature Verification Failed Vulnerability

Il y a probablement un certificat auto-signé sur cet appareil, commun pour des choses comme les modems câble qui ont besoin de TLS mais ne se soucient pas d'être approuvés par des utilisateurs aléatoires. (PCI se soucie, cependant, même lorsque les utilisateurs ne le font pas).

Part 2b-6. 38628 - SSL/TLS Server supports TLSv1.0 

Lorsque vous accédez à un site Web sécurisé aujourd'hui, le plus récent que vous verrez est TLSv1.3, mais la plupart des sites Web ne prennent en charge que TLSv1.2 ou TLSv1.1. TLSv1.0 est ancien, relativement peu sûr, et PCI l'a déclaré inacceptable il y a quelques années.

Part 2b-7. 38601 - SSL/TLS use of weak RC4(Arcfour) cipher (CVE-2013-2566, CVE-2015-2808)

TLS peut choisir parmi plusieurs algorithmes; au fil du temps, des faiblesses sont trouvées et des algorithmes individuels sont retirés à cause de cela. RC4 a pris sa retraite il y a quelques années.

105
gowenfawr

Étant donné que vous manipulez physiquement des cartes et envoyez ces données de carte via un réseau à votre processeur de carte, vous devez sécuriser votre réseau. En plus d'être simplement conforme pour éloigner les auditeurs de votre cas, si quelqu'un introduit un programme dans votre réseau, il pourrait être en mesure d'écouter le reste du réseau et de voler les données de cette carte.

En fonction de votre question et de vos commentaires, un ordinateur de votre réseau dispose d'un serveur Web qui répond publiquement aux demandes.

Il s'agit très probablement du modem câble/routeur lui-même, et le serveur Web fait partie d'une console de gestion à distance - Il vous permet, à vous ou à votre FAI, de modifier les paramètres sans avoir besoin d'être à l'intérieur du réseau. Cela permet également à n'importe qui d'autre dans le monde de modifier les paramètres.

Le message d'erreur que vous obtenez indique SSL/TLS Server supports TLSv1.0, (parmi quelques autres erreurs), ce qui signifie que le serveur Web utilise des paramètres de sécurité vieux de plusieurs années. C'est ce dont se plaint votre processeur de cartes - Ce serveur Web est tout simplement trop ancien et il existe plusieurs vulnérabilités connues.

Cependant, votre problème le plus critique est qu'il existe une console de gestion à distance accessible au public. Les utilisateurs peuvent deviner les informations de connexion à leur guise et accéder à votre réseau interne. Lorsque vous désactivez la gestion à distance dans votre modem, votre processeur de carte devrait pouvoir analyser votre réseau et ne pourra rien voir du tout, et vous serez de retour en conformité PCI (en supposant que vous étiez en conformité auparavant) .

32
Ghedipunk

TLDR: NE sécurisez PAS votre réseau. Obtenez un terminal de carte moderne avec P2PE (cryptage point à point) et l'acquéreur qui le prend en charge - par exemple de nouveaux produits comme Square ou Paypal Here, qui coûtent moins cher que vous ne le pensez.

Cela transfère la responsabilité PCI-DSS loin de vous et à ces sociétés financières d'un milliard de dollars qui sont bien équipées pour la gérer efficacement, à grande échelle. Allez chiffrement!

Se conformer à PCI-DSS est un gros travail à moins que ... (sauter ceci)

PCI-DSS est une affaire sérieuse. La plupart des petites entreprises n'ont pas de brèche. Mais si vous avez une violation (ce qui serait probablement des crackers surveillant vos transactions de carte de crédit pendant une longue période), vous devrez payer des pénalités extrêmement douloureuses qui ont un (le chiffre que j'ai entendu est de 90%) chance de faire faillite votre petite entreprise.

Ce qui est dans la portée de PCI est

  • votre terminal de carte
  • le réseau sur lequel il est
  • chaque PC, attendez, périphérique qui peut accéder à ce réseau
    • et le WiFi ponté sur ce réseau
    • y compris IoT: caméras de sécurité, moniteur d'alimentation Sense et tous les gadgets stupides compatibles WiFi que vous avez achetés sur une alouette et que vous avez tout oublié
  • chaque réseau qui peut accéder à ce réseau, et
  • chaque PC, euh, appareil sur les réseaux ceux.
  • le WiFi invité doit être correctement configuré pour ne pas être sur ce réseau

... à moins que vous l'esquiviez complètement, avec P2PE

P2PE = Point to Point Encryption - essentiellement un tunnel VPN entre le lecteur de carte et l'acquéreur.

Le premier lecteur de cartes de Square était une simple tête de bande magnétique. De toute évidence, l'application Square a traité les données de la carte dans la tablette. Cela a placé l'application, le téléphone/la tablette, le réseau, etc. dans la portée pour PCI-DSS.

Paypal Ici, placez un processeur de cryptage à l'intérieur de la télécommande du scanner . Le fob lui-même parle aux serveurs Paypal, via P2PE . L'application Paypal transmet simplement les données et ne peut pas les lire (et personne d'autre non plus).

Cela ne place pas l'application, le téléphone et le réseau dans la portée de PCI-DSS. Si l'acquéreur garantit le fob est sécurisé, alors tout ce que vous avez à faire est de vous assurer que votre fob n'a pas été falsifié physiquement.

Si toute votre activité de carte de crédit se fait via des périphériques autonomes P2PE, alors vous n'avez pas besoin de PCI-DSS votre réseau.

P2PE est le seul chemin à parcourir.

Mais malheureusement, beaucoup d'acquéreurs (en particulier ceux avec des vendeurs itinérants, vous les connaissez) n'ont pas reçu le mémo. Ils vous obligent à dépenser des milliers pour sécuriser vos réseaux. Pourquoi?

Parce qu'ils sont super résistants au changement (cartes à puce, heh) et P2PE nécessite une énorme dépense de technologie back-end dont ils peuvent se passer. Et bien sûr, vous, le détaillant, devez acheter un nouveau lecteur P2PE, qui est une pilule difficile à avaler après avoir dépensé beaucoup de lecteurs de puces.

Et votre acquéreur vous a vendu une jalopie obsolète; ce lecteur date de 2012, avant que le P2PE ne devienne populaire. Voir?

enter image description here

Regardez les processeurs de paiement modernes comme Square ou Paypal ici. À première vue, ils semblent terribles sur le seul pourcentage mais il n'y a pas d'autres frais, et cela le fait basculer en votre faveur - pas de frais mensuels, de frais de traitement par lots, de frais de transport, de niveaux et la douzaine de coupes que les acquéreurs prennent. J'ai vu des factures qui prétendaient être de 1,4% mais qui étaient en fait de 4,1% après la prise en compte de tous ces frais/achats. Paypal Voici 2,7%. Vraiment.

Un autre avantage des acquéreurs modernes est qu'ils fonctionnent via Bluetooth sur des téléphones ou des tablettes , en utilisant la tablette pour annoncer la vente et accepter la signature du doigt. Cela aussi signifie qu'ils peuvent utiliser l'accès au réseau de données cellulaires incroyablement bon marché pour les tablettes en particulier (100 $/an sont facilement disponibles) plutôt que de payer pour le service Internet commercial.

Et ils fonctionnent n'importe où, donc si vous avez des vendeurs itinérants, ils peuvent faire glisser Visa-MC sur le client. Au lieu d'écrire des chiffres pour le trésorier (un tout autre cauchemar PCI-DSS), pour ne rien dire des frais refusés!

Transactions par carte non présente (CNP)

Utilisez les appareils P2PE à clavier modernes tels que Paypal icigros lecteur pour les transactions CNP. N'entrez pas de transactions CNP sur tout type de tablette ou de PC ou vous placez le PC, le réseau, yadayada dans PCI-DSS.

Alternativement, minimisez les transactions ou hors la loi CNP, et convertissez-les en facturation via Paypal etc. (qui vient avec Paypal ici évidemment). De cette façon, le consommateur utilise son propre appareil pour interagir avec Paypal, etc., ce qui fait du PCI-DSS leur problème.

Dans l’ensemble, le problème est que les appareils connectés à Internet sont confrontés à de nombreuses menaces de sécurité. Tes autres réponses donnent de bons conseils pour résoudre les problèmes spécifiques qui ont été détectés cette fois.

D'un autre côté, si vous préférez tpour éviter tout ce gâchis, vous pouvez passer à un terminal de paiement autonome qui utilise une ligne téléphonique analogique et ne touche pas à Internet. Cela n'évitera peut-être pas tous les problèmes de sécurité possibles, en particulier à long terme, mais pour l'instant, il vous fera reculer de SAQ B-IP à SAQ B :

SAQ B: "... Terminaux autonomes, commutés ..."

SAQ B-IP: "... terminaux autonomes avec connexion IP ..."

Les avantages de passer à un terminal de numérotation à l'aide d'une ligne téléphonique analogique sont les suivants:

  • Il prend votre modem et autres appareils connectés à Internet hors de l'image
  • Vous êtes moins susceptible d'être affecté par les nouvelles exigences de sécurité PCI
  • Vous êtes moins susceptible d'être affecté par une future violation de la sécurité des cartes de crédit sur Internet

Les inconvénients sont:

  • Il pourrait ne pas être pris en charge par votre processeur de paiement actuel (demandez-le)
  • Cela nécessite une ligne téléphonique analogique régulière, pas VOIP ou quelque chose comme ça

EDIT: Après avoir lu la réponse de Harper recommandant P2PE , je pense maintenant que c'est une mauvaise idée pour toute entreprise régulière de brique et de mortier d'essayer de résoudre ses propres problèmes SAQ B-IP comme suggéré par d'autres réponses. Essayer de suivre SAQ B-IP est tout simplement trop risqué. Une entreprise ordinaire de brique et de mortier ne devrait utiliser que des solutions sous SAQ B (terminaux d'appel sortant) ou SAQ P2PE-HW:

SAQ P2PE-HW: "... terminaux ... gérés par une solution validée, solution P2PE cotée PCI SSC ..."

11
Krubo

Si le modem de user3512967 est comme le mien, le durcissement des paramètres TLS de l'interface Web est inutile. Mon Cisco EPC3212 possède une interface accessible uniquement depuis le LAN via HTTP. Il a des identifiants de connexion qui peuvent être googlé et ne peuvent pas être modifiés. Même s'il était servi via TLS (faible ou fort), mon réseau ne serait pas plus sécurisé. La connaissance du public ne peut être divulguée.

Ma question est donc la suivante: l'interface du modem de user3512967 offre-t-elle un contrôle digne de restrictions ou des informations confidentielles qui ne sont pas accessibles via la connaissance du public? Si ce n'est pas le cas, la correction de TLS ne résout rien.

1
Damian