web-dev-qa-db-fra.com

Pourquoi le navigateur Web du client n'a-t-il pas besoin d'être compatible PCI?

Un magasin hypothétique en ligne qui accepte le paiement par carte de crédit devra être compatible PCI car il reçoit (transmission), processus et éventuellement stocker des numéros de carte de crédit.

Mais le navigateur Web du client transmet également un numéro de carte de crédit, bien que sur une connexion sécurisée, mais après réception en texte brut du clavier.

Nous ne pouvons pas effectuer chaque navigateur là-bas PCI conforme, mais je ne trouve aucune référence dans la spécification.

Où est-il écrit que le navigateur Web d'un client n'a pas besoin de la conformité PCI?

web-browsercompliancepci-dss
23
ixe013

Eh bien, d'abord, ce qui est écrit est le suivant: Les sociétés de cartes de paiement exigent que les marchands soient conformes à PCI-DSS. PCI-DSS ne s'applique à personne qui ne traite pas les transactions par carte de crédit. Le DSS Configuration requise Spécifiez le contrôle d'accès, la journalisation, etc. Aucun de ceux-ci n'est applicable à un titulaire de la carte.

Les clients n'ont pas les mêmes contrats que les marchands. Il n'y a aucun avantage à essayer de connecter l'activité sur une machine cliente. Les numéros de cartes individuels sont susceptibles d'être volés dans de nombreux endroits et le coût/avantage sur l'analyse médico-légale de l'ordinateur d'une personne pour sa carte de crédit perdue est quelque part en sain d'esprit. Enfin, les gens n'accepteront tout simplement pas cela. Si vous utilisez une carte de crédit est trop difficile, les émetteurs de cartes verront une diminution du volume.

20
Jeff Ferland

Il s'agit d'un problème de fixation classique avec les normes de conformité. Tenez le marchand entièrement responsable - mais nier complètement tous leurs efforts si le client du commerçant n'a pas protégé leurs navigateurs.

Cependant, ce qui reste douteux pour le scopage, c'est si le commerçant possède des représentants de RSE ou des employés/entrepreneurs/consultants de quelque nature que ce soit (back-office, via des informations commerciales, CRM, comptabilité, officiers ou autres) à l'aide d'un navigateur ou d'une autre application pour accéder à un navigateur ou à une autre application. Données de la carte de paiement.

J'ai entendu dire qu'il y a une exclusion pour les personnes élues sur les marchands qui accèdent aux données du titulaire de la carte de la même manière qu'un client devrait - toutefois, il appartient à la QSA (le PCI DSS) à décider: c'est-à-dire que c'est leur discrétion.

Afin de prouver que les informations ci-dessus sont exactes, permettez-moi de citer Gene Kim's TRAVAIL DE SCOPING PCI , qui dans une série de diapositives - il discute de l'utilisation de l'IIA (responsable de COSO) Gait-R pour la conformité. "Principes" identification d'identification par rapport aux "commandes" (dont PCI DSS est lourd avec). Ceci est décrit classiquement comme "l'esprit de la loi" par rapport à "la lettre de la loi" en criminel/Justice civile et Actes de la Réforme juridique Depuis l'histoire de l'humanité.

Dans les diapositives 35 et 37 de 2010 07 BSIDELV mobilisant la résistance PCI 1c , il est clair que:

  1. Les appareils de catégorie 3 sont en dehors de PCI DSS Portée, tandis que les périphériques de catégorie 2 et 1 sont en PCI DSS Portée
  2. Les périphériques qui transmettent CHD, ne sont pas capables de déchiffrer le CD, et ne sont pas non plus connectés via le segment de réseau physique/virtuel local à un périphérique de catégorie 1 peuvent être considérés comme une catégorie 2A, 2B, 2C ou même un périphérique de catégorie 3
  3. Selon le scopage, le client (ou ceux qui transmettent le CDM exactement comme un client) sont considérés comme un périphérique de catégorie 3 (et donc sur PCI DSS Portée). L'astuce ici est de faire Assurez-vous que le représentant de la RSE (ou d'un autre employé/entrepreneur/consultant/consultant) ne violait pas non plus d'autre flux de travail dicté dans la diapositive 37, telle que la mise en cache CHD via le navigateur (ou le proxy, la passerelle d'application-couche, etc.) ou économiser La fonctionnalité autocomplete de formulaire HTML de Browser HTML
  4. Honnêtement, je pense que vous devez me devoir une bière pour avoir répondu à cela
13
atdre