网络浏览器和 PCI DSS
WebBrowser and PCI DSS
如果销售点卡 reader 停止工作,卡处理供应商需要备用卡输入方法。处理者建议的方法是,应用程序将 WebBrowser control 托管到供应商自己的站点,在结帐时在其中输入信用卡信息,并观察 URL 的变化以了解交易何时完成并接收验证令牌。
这让我觉得这是一个潜在的 PCI 雷区:
- 按键将进入与销售点应用程序的其余部分相同的过程,WebBrowser 还提供进程内 DOM 挂钩
- 我不确定这对于来自单独机器的 MitM 的 HTTPS 证书验证意味着什么
- 可能还有其他我不知道但同样重要的事情。 (弃用的协议和算法?)
可以肯定的是,独立的 Web 浏览器可能会遇到其中一些相同的问题,但至少这不是应用程序代码库的责任。我不希望 PCI 审计仅仅因为它与支付条目共享一个代码库而在代码库中出现一些不相关的问题。
我是不是想多了,因为它只是在网卡 reader 出现故障时使用的一种备份方法?处理此问题的标准方法是什么?
如果您正在接受审计,审计员会寻找以下基本内容:
制造商多久更新一次嵌入式浏览器?它如何接收更新?它会receive/deploy自动更新吗?或者,只要存在严重的安全漏洞 discovered/patched,您是否必须重新部署应用程序?您如何管理这些更新?如果更新是自动的,您如何在产品投入生产后对其进行质量检查?如果您必须重新部署该应用程序,您将如何向用户推出它?您如何确定所有用户都从不安全版本更新到安全版本?他们被推送的频率如何?您是否有一套良好的流程来管理更新如此频繁以至于您的用户永远不知道他们将要打开什么和更新如此之少以至于您是 运行 极易受到攻击的软件?
在实践中(特别是如果您受到 post-违规审计),嵌入式浏览器是否已完全更新以防止已打补丁的安全威胁?
嵌入式浏览器是否可以防止基于浏览器的威胁(如下载驱动)?您的防病毒解决方案是否仍适用于嵌入式浏览器?你确定吗?你是如何测试的?
如果您是,比方说,运行 浏览器中的虚拟终端,您可能希望能够回答同样的问题,只是关于常规浏览器的问题。因此,使用嵌入式浏览器不会更改 PCI-DSS 的字母。但是,围绕嵌入式浏览器的安全流程会有所不同。
对于 MITM 攻击之类的问题,我不确定我是否理解您的问题。嵌入式浏览器与普通浏览器一样容易受到 MITM 的攻击,尽管一些普通浏览器对中间人攻击具有更强的保护。例如,如果您的嵌入式浏览器是 Google Chrome 的更新版本,我会觉得比您的嵌入式浏览器是未见过的 IE 6 版本安全得多这十年的更新。
要记住的重要一点是,如果您的持卡人数据环境 (CDE) 位于接收定期漏洞扫描的安全网络中(并且如果您有一个良好的书面流程来管理如何执行漏洞扫描),您应该万一违反,没问题。但更重要的是,您需要记录流程以及您如何遵循流程。
例如,假设您的流程是:
a.) 让您的团队中的专家每第二个星期五进行一次漏洞扫描。
b.) 每季度聘请一家外部公司进行一次完整的漏洞扫描。
您需要有以下记录:
a.) 谁是您的专家?她是怎么训练的?她有资格进行漏洞扫描吗?如果她发现了一个漏洞,它是如何升级的?她在什么日期进行扫描?她有打印出来的结果吗?她会用她的发现填写表格吗?你有所有的表格吗?我可以看到她在 2015 年 12 月 18 日执行的漏洞扫描的结果吗?
b.) 当您完成专业扫描时,谁来执行?您如何审核公司是否合格?您如何审核执行它们的人是否合格?如果他们发现漏洞会怎样?如果他们发现了您的内部专家没有发现的漏洞,会发生什么情况?我可以看看他们上次的报告吗?我可以看看三个季度前的报告吗?
如果销售点卡 reader 停止工作,卡处理供应商需要备用卡输入方法。处理者建议的方法是,应用程序将 WebBrowser control 托管到供应商自己的站点,在结帐时在其中输入信用卡信息,并观察 URL 的变化以了解交易何时完成并接收验证令牌。
这让我觉得这是一个潜在的 PCI 雷区:
- 按键将进入与销售点应用程序的其余部分相同的过程,WebBrowser 还提供进程内 DOM 挂钩
- 我不确定这对于来自单独机器的 MitM 的 HTTPS 证书验证意味着什么
- 可能还有其他我不知道但同样重要的事情。 (弃用的协议和算法?)
可以肯定的是,独立的 Web 浏览器可能会遇到其中一些相同的问题,但至少这不是应用程序代码库的责任。我不希望 PCI 审计仅仅因为它与支付条目共享一个代码库而在代码库中出现一些不相关的问题。
我是不是想多了,因为它只是在网卡 reader 出现故障时使用的一种备份方法?处理此问题的标准方法是什么?
如果您正在接受审计,审计员会寻找以下基本内容:
制造商多久更新一次嵌入式浏览器?它如何接收更新?它会receive/deploy自动更新吗?或者,只要存在严重的安全漏洞 discovered/patched,您是否必须重新部署应用程序?您如何管理这些更新?如果更新是自动的,您如何在产品投入生产后对其进行质量检查?如果您必须重新部署该应用程序,您将如何向用户推出它?您如何确定所有用户都从不安全版本更新到安全版本?他们被推送的频率如何?您是否有一套良好的流程来管理更新如此频繁以至于您的用户永远不知道他们将要打开什么和更新如此之少以至于您是 运行 极易受到攻击的软件?
在实践中(特别是如果您受到 post-违规审计),嵌入式浏览器是否已完全更新以防止已打补丁的安全威胁?
嵌入式浏览器是否可以防止基于浏览器的威胁(如下载驱动)?您的防病毒解决方案是否仍适用于嵌入式浏览器?你确定吗?你是如何测试的?
如果您是,比方说,运行 浏览器中的虚拟终端,您可能希望能够回答同样的问题,只是关于常规浏览器的问题。因此,使用嵌入式浏览器不会更改 PCI-DSS 的字母。但是,围绕嵌入式浏览器的安全流程会有所不同。
对于 MITM 攻击之类的问题,我不确定我是否理解您的问题。嵌入式浏览器与普通浏览器一样容易受到 MITM 的攻击,尽管一些普通浏览器对中间人攻击具有更强的保护。例如,如果您的嵌入式浏览器是 Google Chrome 的更新版本,我会觉得比您的嵌入式浏览器是未见过的 IE 6 版本安全得多这十年的更新。
要记住的重要一点是,如果您的持卡人数据环境 (CDE) 位于接收定期漏洞扫描的安全网络中(并且如果您有一个良好的书面流程来管理如何执行漏洞扫描),您应该万一违反,没问题。但更重要的是,您需要记录流程以及您如何遵循流程。
例如,假设您的流程是:
a.) 让您的团队中的专家每第二个星期五进行一次漏洞扫描。 b.) 每季度聘请一家外部公司进行一次完整的漏洞扫描。
您需要有以下记录:
a.) 谁是您的专家?她是怎么训练的?她有资格进行漏洞扫描吗?如果她发现了一个漏洞,它是如何升级的?她在什么日期进行扫描?她有打印出来的结果吗?她会用她的发现填写表格吗?你有所有的表格吗?我可以看到她在 2015 年 12 月 18 日执行的漏洞扫描的结果吗?
b.) 当您完成专业扫描时,谁来执行?您如何审核公司是否合格?您如何审核执行它们的人是否合格?如果他们发现漏洞会怎样?如果他们发现了您的内部专家没有发现的漏洞,会发生什么情况?我可以看看他们上次的报告吗?我可以看看三个季度前的报告吗?