web-dev-qa-db-ja.com

PCIに準拠するには、携帯電話と紙を禁止する必要がありますか?

今日、私はあなたが携帯電話を持ち込んだり、紙を取り出すことは許可されていないコールセンターを聞いた。これはPCIの申し立てであるとされています。これは本当ですか?理由は何ですか?これはやり過ぎのようです。彼らはそれがクレジットカード情報を保護することであると言いましたが、通常カスタマーサービス担当者(例えばスターバックスの担当者)はこれをする必要はありません。

pci-dssphysical
6
Celeritas

ショートバージョン:

PCI-DSSは、ユーザーが記述したステップを明示的に呼び出しません。ただし、これらはいくつかのPCI-DSS要件に合理的に含まれている常識的な手順です。それらは決して珍しいことではなく、私はそれらをカード処理環境でのサードパーティによる非PCI-DSS契約契約の要件と見なしました。

ロングバージョン:

技術的にはPCI-DSS は、「システムコンポーネント」のセキュリティのみを規定しており、人ではありません

PCI DSSセキュリティ要件は、カード会員データ環境に含まれている、または接続されているすべてのシステムコンポーネントに適用されます。

そうは言っても、DSSの多くは、システムコンポーネント以外に影響を与えるポリシーに触れています。以下の要件は、2つの手段(制御されていないデータ/カメラの禁止)によって対処されていると合理的に解釈できます。 CDE内のデバイス、CDE内での紙の使用の制御)以下のように記述します。

7.3カード会員データへのアクセスを制限するためのセキュリティポリシーと運用手順が文書化され、使用中であり、影響を受けるすべての関係者に知られていることを確認します。

7.3はhow制限を実装する必要があるとは述べていませんが、ポリシーの一部としてアクセスに関する制限を設ける必要があると述べています。 CDEでの電話/カメラおよび紙の制御は、合理的な制限です。

9.5すべてのメディアを物理的に保護する:カード会員データを保護する手順に、すべてのメディアを物理的に保護するための制御が含まれていることを確認します(コンピューター、取り外し可能な電子メディア、紙の領収書、紙のレポート、ファックスなど)。

紙がCDEから出て行かないようにすることは紙媒体をセキュリティで保護することの一種であり、携帯電話/カメラが出て行かないようにすることは「取り外し可能な電子媒体」の制御です。

12.3重要なテクノロジの使用ポリシーを作成し、これらのテクノロジの適切な使用を定義します。 (...タブレット、リムーバブル電子メディア、電子メールの使用、インターネットの使用。)

同じ理由で、コールセンターはインターネットや電子メールへのアクセスを許可しないことがよくあります。これらは従業員がカード番号を環境から取り出すために使用できる方法です。

これらの要件は「過剰」ではなく、かなり標準的なものです。それらは「本当の」問題を引き起こす可能性があります(たとえば、不便な人間だけでなく)-たとえば、メールにアクセスできないコールセンターの従業員にパスワードリセットリンクをメールで送信するにはどうすればよいですか?個人のスマートフォンがない場合、コールバックによってIDを確認する方法、またはソフトトークンなしで多要素認証を設定する方法を教えてください。しかし、それらは実際のセキュリティ価値を提供します。

PCI-DSSに基づくポリシーの一部として、および契約上の合意の一部としてこれらの要件を見るのはこのためです。

12
gowenfawr

コールセンターをスターバックスと比較して、クレジットカードの処理に必要な方法を比較します。大きな違いは、スターバックスがクレジットカードをコールセンターとはまったく異なる方法で処理することです。

スターバックスバリスタは、クレジットカードデータを一切取り扱いません。スターバックスの銀行が提供するマシンにクレジットカードを挿入すると、信号は銀行に直接送信され、銀行からマシンに戻ります。スターバックスがクレジットカードの詳細を自分で処理することは決してありません。

スターバックスアプリがクレジットカードをどのように処理するかはわかりませんが、論理的には、これらの詳細はデバイスのローカルに保存されているか、スターバックスサーバーに保存されています。どちらの場合も、スターバックスバリスタはクレジットカードの資格情報と連絡を取りません。また、スターバックスアカウントのサポートを担当するカスタマーサービス担当者も同様です。最大で、クレジットカードの最後の4桁を見ることができ、有効期限もCVCコードもありません。

gowenfawrは、ウェイトスタッフがハンドヘルドデバイスを使用してクレジットカードを読み飛ばすこともあると指摘しました。これは明らかにPCIコンプライアンスルールの大規模な違反ですが、これはPCIコンプライアンスとは関係がなく、すべて通常の犯罪行為とは関係ありません。この場合、技術的に言えば、スターバックスは資格情報を盗んでいるのはスターバックスではなく、ウェイトスタッフであるため、PCIに準拠しています。

また、誰かがクレジットカードをすくうのを見た場合は、すぐにマネージャーに報告してください。ほぼすべての企業が、顧客を十分に気遣い、違反者をすぐに解雇します。そして、明らかにあなたのクレジットカード発行者に連絡して、あなたのカードが侵害されたと信じていることを彼らに伝えてください。彼らは古いカードを取り消し、新しいカードを発行します。

2
Nzall

あなたが聞いているのは、カード所有者のデータの損失を防ぐための予防策としての会社またはコールセンターのセキュリティポリシーについてです。わずかに異なるデータセットで同じことを行う他の企業について聞いたことがあります。コールセンターの従業員がクレジットカードを取っていると、毎年多くの逮捕が行われるため、これはおそらくセキュリティコントロールであり、いくつかのセキュリティリスクを軽減するのに役立ちます(ワイヤレスデバイスのセキュリティが侵害されています)頭に浮かぶ別の問題です)。

コーヒーショップのコメントについて。コーヒーショップの人々は、あなたが参照しているコールセンターの従業員がアクセスするデータベースと同じくらい多くのクレジットカードの近くにはアクセスできないでしょう。

実際のPCI標準は、Webサイトから無料でダウンロードできます。

https://www.pcisecuritystandards.org/document_library

標準ではさまざまなコントロールを参照していますが、これらの各コントロールを実装する方法は多数あります。問題のコールセンターは、PCI制御構造の一部としてこれを行っている可能性がありますが、一般的に、リスクと攻撃面を減らすために単に行っているのではないかと思います。

1
Trey Blalock