Mascarea sau trunchierea numărului PAN: Care este diferența?
VcherayaperechityvalaPCI DSS 2.0, trebovanie3.4, ibylanemaloudivlenatem, chtodlyazaschityhranimyhnomerovPANnepredlagaetsyatakayamerakak „mascare“ .Pravilno înțeleg că aceste numere să fie criptate înainte de a fi plasate în depozit și în timpul îndepărtării, acestea sunt supuse decripta și mascarea? Și apoi, dacă vom obține un număr PAN este deja în formă mascată, și apoi depozitați-l, dacă o astfel de depozitare este acoperit de standardul PCI DSS? Din punct de vedere tehnic, după cum cred, nu se încadrează, pentru că PAN este deja mascat la primire și, prin urmare, nu este posibil să se găsească numărul PAN în text.
Aici se află tocmai esența neînțelegerii esenței mascării. Mulți oameni, fie nu știu despre existența trunchieri și cred că în cazul în care nu pot vedea numărul complet al cardului, este de mascare, sau cred că trunchierea și mascarea - sunt unul și același lucru. Fără îndoială că este lucruri diferite, așa că îmi permit să citez definiția de mascare și trunchiere direct din Glosar PCI SSC:
Mascarea (Mascarea)
Metoda de a aduce numărul PAN într-o formă de citit prin ștergerea segmentului de date PAN.
Imaginați-vă datele de pe suportul de card (în continuare - DDC) sub formă de figuri pe o bucată de hârtie. Când mascare dacă luăm bandă de corecție și se aplică la cele mai multe figuri, astfel încât persoana căreia bucata de hârtie, ar putea fi văzut doar ultimele 4 cifre. Evident, cu această operație, datele încă mai există sub banda de corecție, deși le ascunde. Desigur, cu această bucată de hârtie, cu un oarecare efort, puteți curăța banda de corecție, astfel încât această bucată de hârtie este încă nevoie de protecție, în care nici un atacatorii nu ar putea recupera și de a folosi datele cardului.
La rândul său, dacă vrem să trunchia această bucată de hârtie, ne-ar face, fie nu a scris inițial aceste cifre, sau să le șteargă atât de ferm încât acestea nu ar putea fi recreate. Aceste date nu ar fi niciodată scrise pe o foaie de hârtie și, prin urmare, nu ar putea fi folosite pentru fraudă cu carduri de plată. Într-un astfel de scenariu, această lucrare nu are nici o valoare pentru atacator, și, prin urmare, nu este nevoie să-l apere, cel puțin în aceeași măsură, care ar trebui să protejeze datele mascate. Desigur, aceste date pot fi trunchiate atașate unele date sau valori suplimentare, ci prin ele însele date valorice trunchiate nu sunt.
În cazul în care datele se afișează pe ecran, care arată doar o mică parte, este imposibil de a ști sigur exact care prezintă date - trunchiate sau mascate. Pentru a afla, aveți nevoie de o înțelegere mai profundă a proceselor de prelucrare a acestora. Numai prin înțelegerea proceselor pe care le putem spune dacă orice recrea datele sau de date stochează aceleași date, care sunt vizibile pe ecran. În timp ce în magazin regulat, puteți vedea pe controalele din ultimele 4 cifre ale numărului cardului. Dacă cererea de plată este scrisă corect, funcția de personal - fie că este vorba capul o podea de tranzacționare sau de către vânzător - nu contează: în nici un caz, nimeni nu ar trebui să vadă nimic, dar ultimele 4 cifre. Faptul că într-o astfel de cerere, datele nu sunt salvate, și, prin urmare, nici unul dintre angajații magazinului nu există nici o modalitate de a extrage date din sistem - date au fost trunchiate, iar sistemul nu mai există.
Destul de diferită situație în biroul de back-office, în departamentul contabil și în serviciul responsabil pentru prevenirea daunelor. Implicit, angajații acestor departamente și servicii ar trebui să vadă numai ultimele 4 cifre ale numărului cărții de plată. Cu toate acestea, în cazul unor reclamații sau suspiciuni de fraudă, angajații companiei ar trebui să poată anula numărul complet al cardului în cadrul anchetei. Aceste numere persistă încă pe server, însă ele sunt stocate în mare parte într-o formă ascunsă (ascunsă) și sunt afișate numai personalului autorizat corespunzător. Deoarece este posibilă extragerea acestor date pe servere, acestea sunt pe deplin incluse în zona de evaluare pentru respectarea standardului PCI DSS și sunt supuse unei protecții adecvate.
Astfel, răspunzând la întrebarea cititorului, voi spune că datele stocate nu pot fi "mascate". Ele sunt mascate numai atunci când sunt extrase și sunt considerate a fi mascate, dacă sunt afișate parțial. De aceea, în cerința 3.4 nu există mascare. Dacă TSP primește DDK în care există doar un segment al numărului PAN (de exemplu, un segment din primele 6 sau ultimele 4 cifre), atunci aceste date sunt trunchiate. În acest caz, lipsește numărul complet PAN, nu poate fi recreat, ceea ce înseamnă că nu este nevoie să îl protejați în același mod ca DDK. Nu spun, bineînțeles, că datele legate de acest număr nu sunt valoroase și nu pot fi protejate, doar datele trunchiate nu intră în sfera de aplicare a cerințelor standardului.
În cazul în care FST primește numărul complet al PAN, dar personalul este afișat într-o formă mascată, chiar dacă nimeni nu în TSP nu are acces la DDK, acesta este în continuare responsabil pentru protecția acestora, în conformitate cu standardul. În cazul în care aceste date nu este necesar, are sens să solicite datele trunchiate, astfel, a salva o mulțime de energie și nervi pentru a comunica cu auditorii, cerințele de performanță ale standardului, și într-adevăr, în procesul de aducere a mediului, în conformitate cu PCI DSS. De exemplu, am fost plăcut să vorbesc cu oamenii, dar chiar și cele mai mari fani printre clienții mei confirme că am obține urât și intolerabilă, cel puțin o dată pe an, când am venit la ei pentru audit.
Trimiteți-le prietenilor: