web-dev-qa-db-ja.com

安全なポータルを使用してカード会員データを収集する場合、ユーザーワークステーションはPCI-DSS CDEの一部と見なされますか

コールセンターのオペレーターでいっぱいのオフィスがあり、電話でこれらを受け取って顧客の支払いの詳細を更新し、それを安全なWebアプリケーションに入力して、データを「実際の」CDEに安全に格納するとします。データがコールセンターのオペレーターのPCに保存されることも、暗号化されずに送信されることもありません。

タイトルごとに、これはそれらのワークステーションがPCI-DSS定義に従ってCDEの範囲に該当することを意味しますか?

編集:明確化、Webアプリケーションは内部アプリケーションです。パブリックネットワークやオープンネットワークでは公開されていません。

pci-dsspci-scope
2
Nemec

はい、それらのマシンはCDEにあります。ただし、適切なセグメンテーションを使用すると、それらは SAQ C-VT によって対処されます。 SAQ(「自己問診」)C-VT(「仮想端末」)に該当する販売者は、範囲が限られているため、PCI DSS=要件)の数が少なくなります。

SAQ C-VTは、インターネットに接続されたパーソナルコンピューターの独立した仮想決済端末を介してのみカード会員データを処理する加盟店に適用される要件に対処するために開発されました。

仮想決済端末は、アクワイアラ、プロセッサ、またはサードパーティのサービスプロバイダーのWebサイトへのWebブラウザーベースのアクセスであり、決済カードの取引を承認します。ここで、販売者は安全に接続されたWebブラウザーを介して手動で決済カードデータを入力します。

そして

SAQ C-VT加盟店は、仮想決済端末を介してのみカード会員データを処理し、どのコンピューターシステムにもカード会員データを保存しません。これらの仮想端末はインターネットに接続され、仮想端末の支払い処理機能をホストするサードパーティにアクセスします。このサードパーティは、プロセッサ、アクワイアラー、またはカード会員データを保存、処理、送信して、販売者の仮想端末の支払い取引を承認および/または決済する他のサードパーティサービスプロバイダーの場合があります。

(「C-VT」の「C」には意味的な意味はありません。SAQは要件の幅が広がっているのでA/B/C/Dです。Dは基本的に完全なDSSです。Aは個々の項目の単なるスコアです。Cはの間に。)

1
gowenfawr

ワークステーション全体、実際にはコールセンター全体、そして場合によってはネットワーク全体がPCI DSSの対象になる可能性があります。

キーロガー、紙、鉛筆は、オペレーターを危険にさらすのに十分です。次に、オペレーターへの電話、ワークステーションの一般的なセキュリティを維持するために必要なパッチがあります。

すべての通話をプロキシするか、安全なテレフォニーセンターを介してルーティングすることにより、リスクを軽減し、コンプライアンスの労力を軽減する商用ソリューションがあります。

2
ste-fu

ワークステーションは、何らかのiframeソリューションを実装してそれらを取得しない限り、対象になります。

議会がこの問題の補足を次のリンクで提供した方法: https://www.pcisecuritystandards.org/documents/protecting_telephone-based_pa​​yment_card_data.pdf

0
BokerTov