WebBrowser and PCI DSS
本文关键字:DSS PCI and WebBrowser | 更新日期: 2023-09-27 18:18:20
如果销售点读卡器停止工作,卡处理供应商需要备份卡输入方法。处理器建议的方法是,应用程序托管一个WebBrowser控件到供应商自己的站点,在该站点中,在结账时输入信用卡信息,并监视URL的更改,以知道交易何时完成并接收验证令牌。
我觉得这是一个潜在的PCI雷区:
- 按键进入与其他销售点应用程序相同的进程,并且WebBrowser还提供进程内DOM钩子
- 我不确定这对HTTPS证书验证意味着什么,如果从一个单独的机器MitM
- 可能还有其他我不知道但同样重要的事情。(已弃用的协议和算法?)
可以肯定的是,一个独立的web浏览器可能会有一些相同的问题,但至少它不会是应用程序代码库的责任。我不希望PCI审计在代码库中出现不相关的问题,因为它与支付条目共享代码库。
我是不是想多了,因为这只是一个备份方法,如果读卡器坏了?处理这个问题的标准方法是什么?
如果你正在接受审计,审计人员会查找以下基本内容:
-
厂商多久更新一次嵌入式浏览器?它如何接收更新?它会接收/部署自动更新吗?或者,是否必须在发现/修补关键安全漏洞时重新部署应用程序?你如何管理这些更新?如果更新是自动的,你如何在它们投入生产后进行QA ?如果您必须重新部署应用程序,您将如何将其推出给用户?如何确保所有用户都从不安全版本更新到安全版本?他们被推送的频率是多少?您是否有一套良好的流程来管理如此频繁的更新,以至于您的用户根本不知道他们将打开什么,以及如此罕见的更新,以至于您运行的是非常脆弱的软件?
-
在实践中(特别是如果您受到违规后审计),嵌入式浏览器是否完全更新以防止修补的安全威胁?
-
嵌入式浏览器是否可以防止基于浏览器的威胁,如下载驱动?您的防病毒解决方案是否仍可用于嵌入式浏览器?你确定吗?你是怎么测试的?
如果你在浏览器中运行一个虚拟终端,你会希望能够回答这些相同的问题,只是关于普通浏览器。因此,使用嵌入式浏览器不会改变PCI-DSS的字母。但是,围绕嵌入式浏览器的安全进程将有所不同。
对于像MITM攻击这样的事情,我不完全确定我理解你的问题。嵌入式浏览器和普通浏览器一样容易受到MITM攻击,尽管一些普通浏览器对中间人攻击有更强的保护。例如,如果你的嵌入式浏览器是一个更新版本的Google Chrome,我会觉得比你的嵌入式浏览器是一个十年没有更新的ie6版本要安全得多。
要记住的重要事情是,如果您的持卡人数据环境(CDE)在一个接受定期漏洞扫描的安全网络中(并且如果您有一个良好的书面流程来管理如何执行漏洞扫描),那么在发生违规行为时,您应该没有问题。关键是,您需要记录流程以及如何遵循流程。
比如说,你的流程是:
)。让团队中的专家每隔一个星期五进行漏洞扫描。b。)聘请外部公司每季度进行一次完整的漏洞扫描。
你需要有以下记录:
)。谁是你的专家?她是如何训练的?她有资格做漏洞扫描吗?如果她发现了漏洞是如何升级的?她什么时候做的扫描?她有结果的打印件吗?她会把她的发现填在表格上吗?你有所有的表格吗?我能看到她在2015年12月18日进行的漏洞扫描的结果吗?
b。)当你进行专业扫描时,谁来执行?你如何审查该公司是否合格?你如何审查做这些事情的人是合格的?如果他们发现了漏洞怎么办?如果他们发现了你的内部专家没有发现的漏洞怎么办?我能看看他们的最新报告吗?我能看看三个季度前的报告吗?