如果銷售點讀卡器停止工作,則卡處理供應商需要備用卡輸入方法。處理器建議的方法是,應用程序將一個WebBrowser control託管到供應商自己的站點,在該站點中結帳時輸入信用卡信息,並監視要更改的URL以知道交易何時完成並接收驗證令牌。WebBrowser和PCI DSS
這打動了我作爲一個潛在的PCI雷區:
可以肯定,獨立的Web瀏覽器可能有一些相同的問題,但至少它不是應用程序代碼庫的責任。我不希望PCI審計在代碼庫中出現與代碼庫無關的問題,只是因爲它與付款條目共享代碼庫。
我是否過度使用它,因爲它只是卡片閱讀器關閉時使用的備份方法?處理這個問題的標準方法是什麼?
如果你被審計,審計人員將查找以下基本的東西:
如何頻繁的嵌入式瀏覽器製造商更新?它如何接收更新?它會接收/部署自動更新嗎?或者,每當發現/修補關鍵安全缺陷時,您是否必須重新部署應用程序?你如何管理這些更新?如果更新是自動的,那麼他們在進行產品推介後如何對他們進行質量控制?如果您必須重新部署應用程序,您將如何將其推廣給用戶?您如何確定所有用戶從不安全版本更新到安全版本?他們多久推一次?您是否有一套很好的流程來管理更新頻繁,以至於您的用戶從來不知道要打開哪些內容以及如何更新以避免您正在運行非常易受攻擊的軟件?
在實踐中(特別是如果您受到違規後審覈的影響),嵌入式瀏覽器是否完全更新以防止修補後的安全威脅?
嵌入式瀏覽器是否通過下載防止基於瀏覽器的威脅如驅動器?您的防病毒解決方案是否仍能使用嵌入式瀏覽器?你確定?你是如何測試的?
如果您是在瀏覽器內部運行虛擬終端,那麼您希望能夠回答這些相同的問題,而僅僅是關於常規瀏覽器。因此,使用嵌入式瀏覽器不會改變PCI-DSS的字母。但是,嵌入式瀏覽器周圍的安全流程會有所不同。
對於像MITM攻擊這樣的事情,我不完全確定我理解你的問題。一個嵌入式瀏覽器會像常規瀏覽器一樣容易受到中間人攻擊,儘管一些常規瀏覽器在中間人攻擊中對人有更強的保護。例如,如果您的嵌入式瀏覽器是谷歌瀏覽器的更新版本,那麼與嵌入式瀏覽器爲IE 10的版本相比,我覺得這種安全性要高得多,而IE 6的版本在這十年內還沒有出現過更新。
需要記住的重要一點是,如果您的持卡人數據環境(CDE)位於接收定期漏洞掃描的安全網絡中(並且您有一個良好的書面流程來控制您執行漏洞掃描的方式),您應該在違規情況下罰款。然而,踢球者需要記錄過程以及如何遵循過程。
說,例如,你的程序是:
一)對你的團隊的專家就漏洞掃描每月第二個星期五。 b。)聘請外部公司每季度進行一次完整的漏洞掃描。
您需要記錄:
a。)誰是你的專家?她是如何訓練的?她有資格做漏洞掃描嗎?如果她發現一個漏洞,它是如何升級的?她執行掃描的日期是?她有沒有打印出結果?她是否用她的發現填寫表格?你有所有的表格嗎?我能看到她在2015年12月18日執行的漏洞掃描的結果嗎?
b。)當您完成專業掃描時,誰來執行它們?你怎麼看待該公司是合格的?你怎麼看待那些做他們的人是合格的?如果他們發現漏洞會發生什麼?如果他們發現您的內部專家找不到的漏洞,會發生什麼情況?我可以看到他們的最新報告嗎?我能看到三季度前的報告嗎?
卡數據直接從輸入到安全支付網關。我確信支付網關Web應用程序從一開始就一直符合pci標準。爲什麼瀏覽器比你的應用程序更安全。如果瀏覽器出現問題,那麼每個網頁應用程序都會失敗。我認爲你應該專注於惡意軟件和病毒防護,而不是卡片處理器Web應用程序。 –
就像我說過的,我認爲獨立的Web瀏覽器可能比應用程序的[WebBrowser]更安全(https://msdn.microsoft.com/en-us/library/system.windows.controls.webbrowser .aspx),而不是更少。我不希望PCI審計在代碼庫中出現與代碼庫無關的問題,只是因爲它與付款條目共享代碼庫。我在問學習。 :) – jnm2
對不起,我現在看到您在詢問嵌入式瀏覽器控件的位置。瀏覽器是否嵌入到應用程序中? –