שְׁאֵלָה:
האם שליחת פרטי כרטיס אשראי באמצעות דואר אלקטרוני מפרה את PCI DSS?
Salvador Dali
2014-12-19 07:17:29 UTC
view on stackexchange narkive permalink

בהיותי בארה"ב שמתי לב שיותר ויותר חברות מבקשות לשלוח פרטי כרטיסי אשראי רגישים (כל המידע הנדרש לביצוע עסקה) בדוא"ל רגיל. אני מאמין שזהו איום ביטחוני או לפחות נוהג רע.

השאלה שלי היא האם הוא מפר את התקנים (כמו PCI DSS) וכיצד צריך להתמודד עם כאלה בקשות?

כשאני גר בארה"ב, מעולם לא ביקשתי מחברת פרטי כרטיס אשראי בדוא"ל - ואני קונה באינטרנט לעתים קרובות. עוברים לחברה אחרת עכשיו, ואתם בטוחים שהיא בכלל חברה לגיטימית?
@ekaj מכמה חנויות מקוונות קניתם משהו (5-10 חנויות שונות? במקרה זה לא ממש משנה כמה באופן קבוע אתם קונים). אני גם קונה לעיתים קרובות, וברוב הזמן אין בעיות בכלל, אבל לפעמים דירות להשכרה, מכוניות, שירותי הובלות שואלים מידע כזה. במקרה שלי זו הפעם הרביעית בתקופה של שנה בה אני נתקל בזה, והחברה די לגיטימית.
אתר הנופש העולמי סנטוסה המפורסם בסינגפור דורש ממך לשלוח שם, מספר כרטיס אשראי ותאריך תפוגה בדוא"ל.זה, בשנת 2017. מטורף.
שתיים תשובות:
John Downey
2014-12-19 09:23:23 UTC
view on stackexchange narkive permalink

כן, דרישת PCI DSS 4.2:

לעולם אל תשלח PANs לא מוגנים באמצעות טכנולוגיות העברת הודעות של משתמשי קצה (למשל, דואר אלקטרוני, מסרים מיידיים, צ'אט וכו ').

אלא אם כן הדוא"ל מוצפן איכשהו, אינך רשאי להשתמש בו לשליחת נתוני בעל הכרטיס.

למעשה, אפילו דואר מוצפן אסור. מידע על הכרטיס לעולם לא ישלח על ידי טכנולוגיות העברת הודעות של משתמשי קצה, מוצפן או לא אינו משנה. זו הסיבה שרוב הבנקים והחנויות המקוונות מסרבים לבצע ענייני שירות לקוחות למשל בצ'אט בפייסבוק, גם אם זה מוצפן לחלוטין. הסיבה מאחורי זה היא שגם אם למשתמש יש למשל תעודת S / MIME מאומתת, אתה לא יכול להיות בטוח שרק המשתמש שולט במפתח. כל התקשורת המאובטחת חייבת להיעשות באמצעות מפתחות הנשלטים על ידי סוחר או כל אמון סוחר של ספקים, הנכונים לגבי SSL / TLS באתר סוחר / ספק.
@sebastiannielsen כדאי לחזור ולקרוא את DSS שוב. אמנם אני מסכים עם הטיעון שלך, אך הוא אומר במפורש בעמודת ההדרכה לדרישה 4.2: ניתן ליירט בקלות דואר אלקטרוני, מסרים מיידיים וצ'ט על ידי רחרוח מנות במהלך המסירה ברשתות פנימיות וציבוריות. אל תשתמש בכלי העברת הודעות אלה לשליחת PAN ** אלא אם כן הם מוגדרים לספק הצפנה חזקה. **
gowenfawr
2014-12-19 08:07:26 UTC
view on stackexchange narkive permalink

ב תרגול זה מפר את ה- DSS. ב תיאוריה יתכן שזה לא יכול, אבל זו פדנטריה ולא המציאות.

דרישות DSS 3.4 ([הצפן] נתוני PAN באחסון) ו- 4.1 (הצפן נתוני PAN ברשתות ציבוריות. ) בדרך כלל מופרות על ידי דואר SMTP. כל קופץ דואר הוא שער חנות-קדימה שכותב דואר לדיסק ולו רק באופן זמני; אלא אם כן הוא מוצפן, זו הפרה של 3.4. כל חיבור דואר שמוצפן באמצעות TLS תקין עד 4.1 ... אך סוחר אינו יכול להבטיח כי המערכת שלך או המערכות בינך וביניהן ישתמשו ב- TLS, כך שלעולם לא יעבור ביקורת.

אמנם תיאורטית אפשרי לקבל נתיב מוצפן לחלוטין (כל שרת דואר עם דיסק מוצפן וכל חיבורי הרשת מוגנים באמצעות TLS), אך לא סביר ואינו ניתן לאכיפה עבור דוא"ל מבוסס אינטרנט. אז לא, שליחת נתוני כרטיסים באמצעות דוא"ל מפרה את ה- PCI DSS, ולא צריך שיהיה לך סוחר שיבקש ממך לעשות זאת, ולא כדאי לך לעשות זאת אם יבקש ממך.

(זה עדיין קורה . ו- PCI אינו מובנה כדי להקל על מחזיקי הכרטיסים להתלונן על נוהלי הסוחרים איתם הם עוסקים. סירוב ולעבור לסוחר אחר הוא כנראה ההישג הטוב ביותר שלך.)

נתיב דואר אלקטרוני מוצפן לחלוטין ידוע ומעשי, אך אינך משתמש בהצפנה / פענוח עצמאיים בכל מסירה כדי להשיג זאת.במקום זאת, הצפנה מקצה לקצה כמו S / MIME, עם המידע הרגיש המאוחסן בגוף שנותר מוצפן, ולשרתים יש גישה רק למידע כותרת לא מוצפן שאינו רגיש (או לפחות, אינו PAN).הבעיה היא שזה עובד רק לאחר שהשולח והנמען מחליפים מפתחות ציבוריים.
נקודה טובה של @BenVoigt,, אבל קראתי את ה- OP ("יותר ויותר חברות מבקשות לשלוח מידע כרטיסי אשראי רגיש") כמתאר את סוג היחסים של אחד לרבים שההחלפה בין מפתחות ציבוריים היא בלתי מעשית באופן בלתי אפשרי.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...