norma PCI
Páginas: 8 (1926 palabras)
Publicado: 16 de enero de 2014
¿Puede el número de tarjeta de crédito total se mostrarán en una ventana del navegador?
PCI DSS 3.3 requiere que el PAN se oculta cuando se muestra (por ejemplo, en las pantallas, registros, informes, recibos), a menos que el partido de la visión tiene una necesidad específica de ver el número completo de la tarjeta. Las necesidades de negocio pueden existir para validar si los númeroscorrespondientes se han introducido correctamente antes de completar la transacción (por ejemplo, para los representantes de servicio al cliente). Para compensar por no enmascarar el PAN en la pantalla de este tipo de transacciones, los controles, tales como Time To Live (TTL) o página web "los tiempos de espera" se deben implementar para que la pantalla no muestra los números de tarjetas de formaindefinida. Además, al igual que todos los sitios web que transmiten datos del tarjetahabiente, el sitio web que muestra el PAN debe ser activado SSL para asegurar los datos está asegurada, ya que está introducido y validado.
Al aplicar un algoritmo hash a los números de cuentas principales (PAN), son considerados datos de los tarjetahabientes que deben ser protegidos de conformidad con PCI DSS?hashing en un solo sentido cumple con el propósito de prestar el PAN ilegible en almacenamiento, sin embargo el proceso de hashing y resultados, así como el sistema (s) que realice el hashing, aún estaría en el alcance para asegurar que el PAN no se puede recuperar.Si el resultado hashing es transferido y se almacena en un entorno separado, los datos de hashed en ese entorno separado ya no seríanconsiderarse datos de los tarjetahabientes y el sistema (s) de almacenamiento de los datos hash estaría fuera del alcance de PCI DSS. Sin embargo, si los hashes del sistema y almacena los datos en el mismo sistema, este sistema se considera que el almacenamiento de datos de los tarjetahabientes y está dentro de PCI DSS ámbito de aplicación. La diferencia consiste en que a los datos se aplica unalgoritmo hash y luego son almacenados. Más de hash: Un hash se destina a ser irreversible mediante la adopción de una entrada de longitud variable y la producción de una cadena de longitud fija de texto cifrado. A medida que el PAN se ha "reemplazado", se debe más a menudo se considera fuera del ámbito de aplicación en el recibo de la misma manera PAN truncados están fuera de alcance. Sin embargo,PCI DSS 3.4 también establece que el hash debe ser fuerte y en un solo sentido. Esto implica que el algoritmo debe utilizar criptografía fuerte (por ejemplo, las colisiones no ocurren con frecuencia) y el hash no se puede recuperar o se determina fácilmente durante un ataque. También es una práctica recomendada, pero no se especifica requisito, que una sal de ser incluidos. Dado que la intenciónde hash es que el comerciante o proveedor de servicio no tenga que recuperar el PAN de nuevo, una práctica recomendada es simplemente eliminar el PAN en lugar de permitir la posibilidad de un compromiso descifrar el hash y revelar el PAN original. Si el comerciante o proveedor de servicios tenga la intención de recuperar y utilizar el PAN, luego de hash no es una opción y se debe evaluar un métodode cifrado fuerte.
¿Puede el número de tarjeta de crédito total se va a imprimir la copia del comerciante o del titular de la tarjeta de la recepción? PCI DSS 3.3 establece que "cuando se muestra la máscara de PAN (los cuatro primeros dígitos de seis y el último son el número máximo de dígitos que se muestra)." Véase también la nota bajo el PCI DSS 3.3 - "Este requisito no se aplica a losempleados y otras partes con una necesidad comercial legítima de conocer el PAN completo Este requisito no reemplaza los requisitos más estrictos establecidos para el despliegue de datos de los tarjetahabientes (por ejemplo,. para el (POS) de punto de venta de entradas). "Dado que este requisito abarca todas las pantallas del PAN, incluidos los informes de papel, pantallas de ordenador, y los...
PCI DSS 3.3 requiere que el PAN se oculta cuando se muestra (por ejemplo, en las pantallas, registros, informes, recibos), a menos que el partido de la visión tiene una necesidad específica de ver el número completo de la tarjeta. Las necesidades de negocio pueden existir para validar si los númeroscorrespondientes se han introducido correctamente antes de completar la transacción (por ejemplo, para los representantes de servicio al cliente). Para compensar por no enmascarar el PAN en la pantalla de este tipo de transacciones, los controles, tales como Time To Live (TTL) o página web "los tiempos de espera" se deben implementar para que la pantalla no muestra los números de tarjetas de formaindefinida. Además, al igual que todos los sitios web que transmiten datos del tarjetahabiente, el sitio web que muestra el PAN debe ser activado SSL para asegurar los datos está asegurada, ya que está introducido y validado.
Al aplicar un algoritmo hash a los números de cuentas principales (PAN), son considerados datos de los tarjetahabientes que deben ser protegidos de conformidad con PCI DSS?hashing en un solo sentido cumple con el propósito de prestar el PAN ilegible en almacenamiento, sin embargo el proceso de hashing y resultados, así como el sistema (s) que realice el hashing, aún estaría en el alcance para asegurar que el PAN no se puede recuperar.Si el resultado hashing es transferido y se almacena en un entorno separado, los datos de hashed en ese entorno separado ya no seríanconsiderarse datos de los tarjetahabientes y el sistema (s) de almacenamiento de los datos hash estaría fuera del alcance de PCI DSS. Sin embargo, si los hashes del sistema y almacena los datos en el mismo sistema, este sistema se considera que el almacenamiento de datos de los tarjetahabientes y está dentro de PCI DSS ámbito de aplicación. La diferencia consiste en que a los datos se aplica unalgoritmo hash y luego son almacenados. Más de hash: Un hash se destina a ser irreversible mediante la adopción de una entrada de longitud variable y la producción de una cadena de longitud fija de texto cifrado. A medida que el PAN se ha "reemplazado", se debe más a menudo se considera fuera del ámbito de aplicación en el recibo de la misma manera PAN truncados están fuera de alcance. Sin embargo,PCI DSS 3.4 también establece que el hash debe ser fuerte y en un solo sentido. Esto implica que el algoritmo debe utilizar criptografía fuerte (por ejemplo, las colisiones no ocurren con frecuencia) y el hash no se puede recuperar o se determina fácilmente durante un ataque. También es una práctica recomendada, pero no se especifica requisito, que una sal de ser incluidos. Dado que la intenciónde hash es que el comerciante o proveedor de servicio no tenga que recuperar el PAN de nuevo, una práctica recomendada es simplemente eliminar el PAN en lugar de permitir la posibilidad de un compromiso descifrar el hash y revelar el PAN original. Si el comerciante o proveedor de servicios tenga la intención de recuperar y utilizar el PAN, luego de hash no es una opción y se debe evaluar un métodode cifrado fuerte.
¿Puede el número de tarjeta de crédito total se va a imprimir la copia del comerciante o del titular de la tarjeta de la recepción? PCI DSS 3.3 establece que "cuando se muestra la máscara de PAN (los cuatro primeros dígitos de seis y el último son el número máximo de dígitos que se muestra)." Véase también la nota bajo el PCI DSS 3.3 - "Este requisito no se aplica a losempleados y otras partes con una necesidad comercial legítima de conocer el PAN completo Este requisito no reemplaza los requisitos más estrictos establecidos para el despliegue de datos de los tarjetahabientes (por ejemplo,. para el (POS) de punto de venta de entradas). "Dado que este requisito abarca todas las pantallas del PAN, incluidos los informes de papel, pantallas de ordenador, y los...
Leer documento completo
Regístrate para leer el documento completo.