我正在尝试确定哪些服务器和工作站等符合 PCI 合规性要求。PCI DSS SAQ-D 规定,任何“存储、处理或传输持卡人数据”的设备都符合要求。
那么会计部门使用的计算机如何登录银行网站,查看完整的卡号呢?计算机本身不存储、处理或传输持卡人数据。
这些会计计算机在范围内吗?
答案1
我猜你的意思是会计师正在查看人们的持卡人数据除了他们自己。 计算机做店铺和在这种情况下,传输或导致传输持卡人数据。(这也是我在家中拥有第二个独立网络的原因;由于我的一些工作,我的一台个人计算机被视为属于 PCI-DSS 的范围。)
PCI DSS 明确指出,这些适用于有权访问持卡人数据的任何人使用的计算机,包括允许连接到持卡人数据环境的笔记本电脑或移动设备。它还规定,PAN 应仅向有合法业务需要查看的人完整显示。这可能包括也可能不包括您的会计师。
例如,假设攻击者浏览会计师的浏览器缓存,或者员工访问数据并将其从网络中偷走并出售给东欧的某人(这是一个更困难的问题)。这就把他们纳入了范围。