Zunächst wird Folgendes geschrieben: Zahlungskartenunternehmen verlangen von Händlern, dass sie PCI-DSS-konform sind. PCI-DSS gilt nicht für Personen, die keine Kreditkartentransaktionen verarbeiten. Die DSS-Anforderungen legen Zugriffskontrolle, Protokollierung usw. fest. Nichts davon gilt für einen Karteninhaber.

Kunden haben nicht dieselben Verträge wie Händler. Der Versuch, Aktivitäten auf einem Clientcomputer zu protokollieren, hat keinen Vorteil. Es ist wahrscheinlich, dass einzelne Kartennummern an vielen Orten gestohlen werden, und die Kosten / Nutzen bei der forensischen Analyse des Computers einer Person für ihre eine verlorene Kreditkarte sind irgendwo unter vernünftig. Schließlich werden die Leute das einfach nicht akzeptieren. Wenn die Verwendung einer Kreditkarte zu schwierig ist, wird bei Kartenherausgebern das Volumen verringert.

Dies ist ein klassisches Scoping-Problem mit Compliance-Standards. Halten Sie den Händler vollständig zur Rechenschaft - aber negieren Sie alle Bemühungen vollständig, wenn der Kunde des Händlers seine Browser nicht geschützt hat.

Für das Scoping bleibt jedoch fraglich, ob der Händler CSR-Mitarbeiter oder Mitarbeiter hat. Auftragnehmer / Berater jeglicher Art (Backoffice, über Business Intelligence, CRM, Buchhaltung, leitende Angestellte oder auf andere Weise), die einen Browser oder eine andere App verwenden, um auf Zahlungskartendaten zuzugreifen.

Ich habe gehört, dass es eine gibt Ausschluss für vom Händler gewählte Personen, die auf die Karteninhaberdaten auf die gleiche Weise wie ein Kunde zugreifen - es liegt jedoch an der QSA (dem PCI DSS-Prüfer), zu entscheiden: dh es liegt in ihrem Ermessen.

In Um zu beweisen, dass die obigen Informationen korrekt sind, möchte ich Gene Kims PCI Scoping-Arbeit zitieren, die in einer Reihe von Folien - er erörtert die Verwendung von IIAs (verantwortlich für COSO) GAIT-R für die Einhaltung ". Prinzipien "Identifikation versus" Kontrolle "Identifikation (von denen PCI DSS schwer ist). Dies wird klassisch als "Der Geist des Gesetzes" im Vergleich zu "Der Brief des Gesetzes" in Straf- / Ziviljustiz- und Rechtsreformierungsakten seit der Geschichte der Menschheit beschrieben.

In den Folien 35 und 37 von 2010 07 BSidesLV Mobilisierung Der PCI-Widerstand 1c ist klar, dass:

1. Geräte der Kategorie 3 außerhalb des PCI-DSS-Bereichs liegen, während Geräte der Kategorien 2 und 1 im PCI-DSS-Bereich liegen
2. Geräte, die KHK übertragen, die KHK nicht entschlüsseln können und auch nicht über ein lokales physisches / virtuelles Netzwerksegment mit einem Gerät der Kategorie 1 verbunden sind, können entweder als Kategorie 2A, 2B, 2C, betrachtet werden. oder sogar ein Gerät der Kategorie 3
3. Gemäß dem Geltungsbereich wird der Kunde (oder diejenigen, die die KHK genau wie ein Kunde übertragen) als Gerät der Kategorie 3 (und damit außerhalb des PCI-DSS-Bereichs) betrachtet. Der Trick dabei besteht darin, sicherzustellen, dass der CSR-Mitarbeiter (oder ein anderer Händlermitarbeiter / Auftragnehmer / Berater) nicht auch gegen andere in Folie 37 vorgeschriebene Arbeitsabläufe verstößt, z. B. das Zwischenspeichern von CHD über den Browser (oder den Proxy, die Anwendungsschicht). Gateway usw.) oder Speichern der CHD im Browser HTML-Form Autocomplete-Funktion
4. Ich bin ehrlich der Meinung, dass Sie mir ein Bier schulden müssen, um diese Frage zu beantworten
ol>

Dies wurde bereits ausreichend beantwortet, aber ich werde dasselbe umformulieren:

PCI ist nicht das Gesetz, sondern ein Vertrag zwischen einem Erwerber (Kreditkartenunternehmen) und einem Händler. Dies bedeutet, dass dem Kunden keine Einschränkungen auferlegt werden können, da es keinen (verbindlichen) Vertrag gibt, der dazu verwendet werden könnte. Daher erhalten Client-Webbrowser einen kostenlosen Pass.

Dies ist jedoch wichtig , wenn der geprüfte Händler die Computer besitzt, auf denen sich die Webbrowser befinden Ausführen - Wenn beispielsweise einige Vorgänge von Kunden ausgeführt werden, die die Computer des Händlers in einem Geschäft verwenden, sind sie Teil des PCI-Bereichs. Sie haben einen gewissen Spielraum, wenn das Risiko, das sie darstellen, gering ist, aber das muss der Prüfer von Fall zu Fall entscheiden.

Um es noch einmal zu wiederholen, der einzige Grund, warum Client-Webbrowser nicht Teil von PCI sind Spielraum für den Händler ist, dass der Händler keine Kontrolle über sie ausüben kann. Wenn dies möglich ist, werden sie Teil des Geltungsbereichs.

Ich weiß, dass dies keine direkte Antwort ist, aber ich denke, dies muss angesprochen werden: Die allgemeine Idee ist, dass Ihr Sicherheitsmodell niemals auf die Sicherheit des Clients angewiesen sein sollte, da der Client möglicherweise böswillig, gehackt oder virenhaft ist , geändert, veraltet oder falsch konfiguriert ... Der Server sollte prüfen, ob der Client sicher ist (gemäß den Sicherheitsprotokollen), und wenn dies nicht der Fall ist, sollte er die Bereitstellung verweigern.