クレジットカードの支払いを受け入れる架空のオンラインストアは、クレジットカード番号を受信(送信)、処理、および場合によっては保存するため、PCIに準拠している必要があります。
ただし、クライアントのWebブラウザーは、安全な接続上ではあるが、キーボードからプレーンテキストで受信した後、クレジットカード番号も送信しています。
すべてのブラウザーをPCI準拠にすることはできませんが、仕様に参照が見つかりません。
クライアントのWebブラウザーがPCI準拠である必要はないという記述はどこにありますか?
さて、最初に書かれているのは次のとおりです。支払いカード会社は、加盟店がPCI-DSSに準拠していることを要求しています。 PCI-DSSは、クレジットカード取引を処理しない人には適用されません。 DSS要件は、アクセス制御、ロギングなどを指定します。これはカード所有者には適用されません。
クライアントは商人と同じ契約を持っていません。クライアントマシンでアクティビティをログに記録しようとしてもメリットはありません。個々のカード番号は多くの場所で盗まれる可能性が高く、1人のクレジットカードを紛失したことに対する1人のコンピューターのフォレンジック分析のコスト/メリットは、健全ではありません。最後に、人々はそれを受け入れません。クレジットカードの使用が困難な場合、カード発行会社のボリュームは減少します。
これは、コンプライアンス標準の典型的なスコープ問題です。販売者に十分な説明責任を負わせてください。ただし、販売者の顧客がブラウザを保護していなかった場合は、すべての努力を完全に否定してください。
ただし、スコーピングに関して疑問が残るのは、商人がブラウザまたは他のアプリを使用してアクセスするCSR担当者または従業員/請負業者/コンサルタント(バックオフィス、ビジネスインテリジェンス、CRM、経理、役員など)を持っているかどうかです。支払いカードのデータ。
顧客がアクセスするのと同じ方法でカード会員データにアクセスする加盟店が選択した個人には除外があると聞きましたが、これはQSA(PCI DSS審査員)の責任です)決定する:すなわち、それは彼らの裁量です。
上記の情報が正確であることを証明するために、Gene Kimの PCI Scoping work を引用させてください。これは一連のスライドで-コンプライアンスのためのIIA(COSOを担当)GAIT-Rの使用について説明しています。 「原則」の識別と「統制」の識別(PCI DSSは重い)です。これは、古典的には「法の精神」対「法の手紙」として犯罪者に説明されています/人類の歴史以来、民事正義と法改正。
2010 07 BSidesLV PCI抵抗1cの動員 のスライド35と37では、次のことが明らかになっています。
これはすでに十分に回答されていますが、同じことを言い換えます。
PCIは法律ではありません。これは、アクワイアラー(クレジットカード会社)とマーチャントの間の契約です。これは、これを要求するために使用できる(拘束力のある)契約がないため、顧客に制限を課すことができないことを意味します。したがって、クライアントのWebブラウザーには無料パスが与えられます。
ただし、これは重要、監査対象の商人がWebブラウザーを実行しているマシンを所有している場合-たとえば、操作は、店舗で商人のコンピュータを使用する顧客によって行われます-それらははPCIスコープの一部です。リスクが低い場合は余裕がありますが、監査人がケースバイケースで決定するのはそのためです。
繰り返しになりますが、クライアントのWebブラウザがマーチャントのPCIスコープの一部ではない唯一の理由は、マーチャントがそれらを制御できないことです。可能であれば、それらはスコープの一部になります。