Sqlserver
 sql >> Base de Dados >  >> RDS >> Sqlserver

SQL Server 2008 + Conformidade PCI? Pertence ao PCI, bem como às chaves simétricas!


Se você armazenar o PAN (número do cartão), ele deve ser criptografado.

Se você armazenar o nome do titular do cartão, data de validade, número de emissão (e eles puderem ser vinculados ao PAN), eles deverão ser criptografado, mas (no meu entendimento) é que não é absolutamente necessário. O PCI-DSS afirma apenas que, no mínimo, o PAN deve ser criptografado.

O código CV2/AVS/CSC não pode ser armazenado após a autorização e, idealmente, você deseja provar que ele não é armazenado (por exemplo - apenas mantido na memória durante a execução da autorização)

Em relação aos certificados/chaves - você pode usar apenas uma chave para criptografia de todos os dados relacionados ao cartão. A prática recomendada é não usar chaves para vários fins, portanto, se você tiver outros dados (não relacionados ao cartão) criptografados, use uma chave separada para isso.

A parte mais difícil é aquela que você realmente não mencionou em detalhes - e isso é gerenciamento de chaves. Para atender aos requisitos do PCI, a chave deve ser armazenada em uma caixa física separada do banco de dados e você precisa poder alterar a chave pelo menos uma vez por ano. O SQL 2008 oferece suporte a isso com Extensible Key Management (EKM)

Todos esses pontos são melhor discutidos com um QSA (Avaliador de Segurança Qualificado) independente, que em algum momento você precisará envolver independentemente para atender à conformidade com o PCI. Seu QSA poderá orientá-lo em questões como essa e, em última análise, é o conselho dele que você deve seguir para cumprir a conformidade.

Vale ressaltar que a maioria das pessoas logo percebe o quanto a conformidade com o PCI pode ser um fardo e procura minimizar esse fardo usando um gateway de pagamento de terceiros. A maioria dos gateways de pagamento permitirá que você realize autorização/liquidação e armazene os detalhes do cartão em seus servidores (já compatíveis com PCI). Você só precisa armazenar um TokenId que faça referência a esses detalhes de pagamento, caso precise realizar cobranças/reembolsos adicionais nesse cartão.

Boa sorte de qualquer maneira!