仅使用刷卡终端的企业的 PCI-DSS 合规性

信息安全 pci-dss
2021-08-19 05:46:58

我支持现在需要接受 PCI-DSS 评估的小型零售企业的 IT 基础架构。支付服务和终端提供商 ( Streamline ) 要求我们使用 Trustwave 进行 PCI-DSS 认证。

我面临的问题是,如果我回答所有问题并严格遵守 Trustwave 的要求,我们将不得不在网络设备上进行大量投资以分割 LAN 和/或进行内部漏洞扫描,同时 Streamline 向我保证终端我们拥有(Verifone VX670-B 和 MagIC3 X-8)是安全的,不存储任何信用卡信息并且符合 PCI-DSS,因此暗示我们不需要采取任何措施来确保其网络安全。

我正在寻找有关如何最轻松地满足 PCI-DSS 的网络要求的任何建议。

我们当前网络设置的一些背景:

  • 单有线 LAN,也开启了 WiFi(尽管如果这会产生任何 PCI-DSS 复杂性,我们可以将其关闭)。
  • 单个 Netgear ADSL 路由器。这是我们拥有的唯一防火墙,并且防火墙是开箱即用的配置(即没有 DMZ、SNMP 等)。虽然密码已更改:-)
  • 几台 Windows PC 和 2 个基于 Windows 的收银台,它们都没有看到任何信用卡信息。
  • 两个刷卡终端。直到几个月前(在我们被告知必须通过 PCI-DSS 认证之前),这些终端才通过电话进行身份验证/捕获。Streamline 建议我们转移到他们的IP 宽带服务,该服务使用互联网上的 SSL 加密通道进行身份验证/捕获,因此我们现在使用该服务。

我们不做任何电子商务或通过互联网接收付款。所有交易要么是持卡人在场,要么是 MOTO 通过电话提供详细信息并直接输入终端。我们的总部设在英国。

据我目前了解,为了获得 PCI-DSS 认证,我们有三种选择。

  1. 分割我们的网络,使 POS 终端与所有 PC 隔离,并在该网络上设置内部漏洞扫描。
  2. 不要对网络进行分段,并且必须进行比我认为我们需要的更多的内部扫描和更繁重的 PC 管理(例如,虽然收银台是基于 Windows 的,但它们是完全管理的,所以我无法控制软件更新策略,防病毒等)。所有 PC 都自动应用了防病毒 (MSE) 和 Windows 更新,但我们没有任何集中式
  3. 通过电话线返回身份验证/捕获。

我无法想象我们是第一个处于这种情况的商人。我正在寻找一种简单、经济高效的方法来符合 PCI-DSS 的任何建议 - 通过使用(希望)简单且便宜的设备/软件执行上述 1 或 2,或者如果有更好的方法可以使用任何其他方法来做到这一点. 或者......我们是否应该回到数字石器时代并通过电话进行身份验证/捕获,这意味着我们不需要在我们的网络上做任何事情来获得 PCI-DSS 认证?

3个回答

我不是审计员,只有审计员才能给你有效的答案。也就是说,PCI 数据安全标准在这些问题上相当直接:

持卡人数据环境由存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术组成。

因此,无需存储卡数据即可将您置于范围内;传输就足够了。您的终端将传输持卡人数据,因此在 PCI 要求的“范围内”。

将持卡人数据环境与实体网络的其余部分进行网络分段或隔离(分段)不是 PCI DSS 要求。但是,强烈建议将其作为一种可以减少:

  • PCI DSS 评估的范围
  • PCI DSS 评估的成本
  • 实施和维护 PCI DSS 控制的成本和难度
  • 对组织的风险(通过将持卡人数据整合到更少、更可控的位置来降低风险)

换句话说,任何连接到网络并带有处理终端的系统都在“范围内”,并且也必须进行扫描和审计。如果您不想证明它每年都取决于 PCI 安全鼻烟,您只需要对其进行分段!(话虽这么说,对您来说,对它进行分段可能比让您的网络上的所有内容都符合 PCI 要求更便宜、更容易)。

PCI DSS 自我评估问卷概述了不同类型的企业及其广泛的要求。根据您的描述,您是第 11 页上概述的 SAQ“C”。我在下面引用了其中的一部分并突出显示了项目符号,即是的,他们希望您分割您的网络:

SAQ C 商家通过完成 SAQ C 和相关的合规证明来验证合规性,确认:

  • 贵公司在同一设备和/或同一局域网 (LAN) 上拥有支付应用系统和 Internet 连接;
  • 支付应用系统/互联网设备未连接到您环境中的任何其他系统(这可以通过网络分段将支付应用系统/互联网设备与所有其他系统隔离来实现);
  • 您的公司店铺没有连接到其他店铺位置,任何局域网只针对单个店铺;
  • 贵公司仅保留纸质报告或纸质收据副本;
  • 贵公司不以电子格式存储持卡人数据;
  • 贵公司的支付应用软件供应商使用安全技术为您的支付应用系统提供远程支持。

好消息是:

  1. 在小批量商家级别,您几乎只需要填写一份表格并在其上签名,说明您是合规的,因此您无需处理昂贵的审核。
  2. 有许多看起来很愚蠢的 PCI 规则。这不是其中的一个。网络分段或缺乏网络分段已一再被证明是卡数据泄露的重要因素。
  3. 如果商店那么小,那么修理起来并不昂贵。购买带有集成 4 端口交换机的 SOHO 防火墙,确保它已关闭无线,将您的两个终端连接到它,然后将 WAN 接口连接到您的 LAN。不到 100 美元就完成了。

我担心你的 MOTO 交易。当您说它们是在终端上完成时,您是指供应商(Verifone VX670-B 和 MagIC3 X-8)终端,对吗?如果是这样,那很好。

您的系统是否允许将卡交易信息映射到您可能保留的任何消费者数据上,例如信用卡授权交易号映射到您保存在数据库中的客户姓名和电子邮件?如果是这样,您就有了 PCI 人员想要检查的风险。我的一位客户过去拥有适当的安全系统,但他们的 mailchimp(异地群发电子邮件)帐户遭到黑客攻击,所有客户都收到一封电子邮件,称他们的卡信息已被泄露,而实际上所有数据仍然安全可靠。但无论如何,PCI 解决了这个问题,因为除此之外,PCI 的存在是为了保护集体支付卡行业 (PCI) 的声誉。

我会将 Splunk 放在您的计算机上,以整合您的 Win 错误、系统、SQL 事务、防火墙和 AV 日志,然后定期查看该集成日志资源(您在 PCI 调查问卷中证明您这样做了)。查看日志,尤其是 TSQL 和 Win 系统日志(安装新的 sfwr 等)对于揭示漏洞和证明不存在可利用的漏洞特别有价值。如果您不合并和检查这些日志,则您没有合理的依据来断言。

最好现在就去做,而不是让法务审计师向你“建议”。

你和审计员谈过了吗?除了回答调查外,您可能不需要做任何事情。一旦您证明您不接受除刷卡以外的任何东西并且您没有在任何地方存储卡号,那么您的审核就完成了。

当企业将信用卡存储在某个地方时,所有其他东西都是必需的。

其它你可能感兴趣的问题
上一篇即使在服务器端数据库受损后也能安全地进行 Web 用户身份验证 下一篇如何拒绝发送未经受信任的 PGP 密钥签名的电子邮件?