TLS достаточно безопасно?Нужна скользящая хеш в платежном приложении PA-DSS?

Question

Я - инженер-программист, и в настоящее время я работаю над другим платежным приложением (моим третьим), которое должно соответствовать PCI-DSS. Я пересматриваю документацию PA-DSS, и мне интересно, если в прошлом я слишком много работал над безопасностью приложения, когда я мог бы использовать TLS и user / pass. Итак, мои вопросы при реализации защищенного приложения PA-DSS:

1. Для безопасности аутентификации и связи достаточно ли TLS + user / pass?

2. Какая часть (и) стандарта PA-DSS оправдывает необходимость реализации хеширования сообщений и циклического хеширования между вызовами веб-методов? TLS реализует надежные сообщения, но не прокручивает хэши и постоянные вызывающие между сообщениями. Будет ли реализация скользящего хэша иметь какое-либо значение (с точки зрения PA-DSS)?

3. Если приложение обработки платежей хранит информацию PII и обслуживает разные компании (это означает, что компания A и компания B могут иметь учетные записи в таком приложении), не существует конкретного требования, согласно которому информация PII не может храниться в одной и той же DB, но в прошлом PA-QSA настаивали на том, чтобы это было проблемой. Вопрос: действительно ли это необходимо? Я не могу думать, что Authorize.NET, компания с тысячами клиентов и процессоров, имеет разные базы данных для хранения кредитных карт, обработанных каждой из своих компаний-клиентов.

Заранее спасибо!

---

Обновление № 1:

• Предположим, что все страницы и веб-службы, как в DMZ, так и в Зоне безопасности, будут иметь HTTPS для всех каналов связи, страниц и услуг.

• На # 3 вопрос не о месте или безопасности хранения конфиденциальной информации. Вопрос в большей степени направлен на то, чтобы подвергнуть сомнению возможность совместного использования конфиденциальной информации из разных источников (например, таких как AT & T и Verizon) в одной базе данных.

Answer 1

Здесь есть несколько вопросов.

1) Использование TLS только для имени пользователя и пароля все еще является уязвимостью.Это нарушение owasp a9 и тривиально взломать любую учетную запись в вашей системе с помощью атаки в стиле firehseep.

Я знаю, что PA-DSS 2.0 не включает в себя всю верхнюю 10 owasp, но следует отметить требование 12.1:

12.1 Поручить клиентам шифровать весь неконсольный административный доступ с помощью надежной криптографии с использованием таких технологий, как SSH, VPN или SSL / TLSдля веб-управления и другого неконсольного административного доступа.

Который будет включать административный http-интерфейс.

2) PA-DSS рекомендует использовать реальную защиту транспортного уровня, такую ​​как: VPN и TLS / SSL.Я не верю, что есть требование для хэшей, и, честно говоря, это не очень безопасный дизайн.Такой трафик нуждается в полной защите транспортного уровня.

3) Не забывайте о требовании 9:

9. Данные о держателях карт никогда не должны храниться на сервере.подключен к интернету