如果销售点读卡器停止工作,则卡处理供应商需要备用卡输入方法。处理器建议的方法是,应用程序将一个WebBrowser control托管到供应商自己的站点,在该站点中结帐时输入信用卡信息,并监视要更改的URL以知道交易何时完成并接收验证令牌。WebBrowser和PCI DSS
这打动了我作为一个潜在的PCI雷区:
可以肯定,独立的Web浏览器可能有一些相同的问题,但至少它不是应用程序代码库的责任。我不希望PCI审计在代码库中出现与代码库无关的问题,只是因为它与付款条目共享代码库。
我是否过度使用它,因为它只是卡片阅读器关闭时使用的备份方法?处理这个问题的标准方法是什么?
如果你被审计,审计人员将查找以下基本的东西:
如何频繁的嵌入式浏览器制造商更新?它如何接收更新?它会接收/部署自动更新吗?或者,每当发现/修补关键安全缺陷时,您是否必须重新部署应用程序?你如何管理这些更新?如果更新是自动的,那么他们在进行产品推介后如何对他们进行质量控制?如果您必须重新部署应用程序,您将如何将其推广给用户?您如何确定所有用户从不安全版本更新到安全版本?他们多久推一次?您是否有一套很好的流程来管理更新频繁,以至于您的用户从来不知道要打开哪些内容以及如何更新以避免您正在运行非常易受攻击的软件?
在实践中(特别是如果您受到违规后审核的影响),嵌入式浏览器是否完全更新以防止修补后的安全威胁?
嵌入式浏览器是否通过下载防止基于浏览器的威胁如驱动器?您的防病毒解决方案是否仍能使用嵌入式浏览器?你确定?你是如何测试的?
如果您是在浏览器内部运行虚拟终端,那么您希望能够回答这些相同的问题,而仅仅是关于常规浏览器。因此,使用嵌入式浏览器不会改变PCI-DSS的字母。但是,嵌入式浏览器周围的安全流程会有所不同。
对于像MITM攻击这样的事情,我不完全确定我理解你的问题。一个嵌入式浏览器会像常规浏览器一样容易受到中间人攻击,尽管一些常规浏览器在中间人攻击中对人有更强的保护。例如,如果您的嵌入式浏览器是谷歌浏览器的更新版本,那么与嵌入式浏览器为IE 10的版本相比,我觉得这种安全性要高得多,而IE 6的版本在这十年内还没有出现过更新。
需要记住的重要一点是,如果您的持卡人数据环境(CDE)位于接收定期漏洞扫描的安全网络中(并且您有一个良好的书面流程来控制您执行漏洞扫描的方式),您应该在违规情况下罚款。然而,踢球者需要记录过程以及如何遵循过程。
说,例如,你的程序是:
一)对你的团队的专家就漏洞扫描每月第二个星期五。 b。)聘请外部公司每季度进行一次完整的漏洞扫描。
您需要记录:
a。)谁是你的专家?她是如何训练的?她有资格做漏洞扫描吗?如果她发现一个漏洞,它是如何升级的?她执行扫描的日期是?她有没有打印出结果?她是否用她的发现填写表格?你有所有的表格吗?我能看到她在2015年12月18日执行的漏洞扫描的结果吗?
b。)当您完成专业扫描时,谁来执行它们?你怎么看待该公司是合格的?你怎么看待那些做他们的人是合格的?如果他们发现漏洞会发生什么?如果他们发现您的内部专家找不到的漏洞,会发生什么情况?我可以看到他们的最新报告吗?我能看到三季度前的报告吗?
卡数据直接从输入到安全支付网关。我确信支付网关Web应用程序从一开始就一直符合pci标准。为什么浏览器比你的应用程序更安全。如果浏览器出现问题,那么每个网页应用程序都会失败。我认为你应该专注于恶意软件和病毒防护,而不是卡片处理器Web应用程序。 –
就像我说过的,我认为独立的Web浏览器可能比应用程序的[WebBrowser]更安全(https://msdn.microsoft.com/en-us/library/system.windows.controls.webbrowser .aspx),而不是更少。我不希望PCI审计在代码库中出现与代码库无关的问题,只是因为它与付款条目共享代码库。我在问学习。 :) – jnm2
对不起,我现在看到您在询问嵌入式浏览器控件的位置。浏览器是否嵌入到应用程序中? –