Re: [FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Bonjour, Une alternative à ce problème est de sortir tes enregistrements audio du périmètre PCI-DSS, en éliminant de ces enregistrements les informations de paiement. Dans ce cas, ton infra n'a plus besoin d'être certifiée PCI-DSS. J'ai pu mettre cela en place dans le cadre de déploiement de centres de contact. Dans ce cas précis, la seule information de paiement passant dans la communication était le numéro de CB, transmis par DTMF, uniquement dans le cas de paiement accompagné au téléphone. Pour une première approche légère, nous avons utilisé une solution d'un tiers filtrant en amont de notre infra les DTMF et les transférant au prestataire de paiement. A moyen terme nous allons chercher le graal de la certification PCI-DSS qui ouvre de nombreuses portes. Voici quelques presta fournissant ce type de solution : - Ultracomms - Semafone - et Voxpay que j'ai vu dans un autre thread FRNOG à ce sujet. cdt Julien Le mar. 20 oct. 2020 à 09:42, Mickael Hubert a écrit : > Merci à tous pour vos réponses ! > cela va grandement nous aider. > je n'hésiterai pas à revenir vers vous pour vous faire part de nos > avancées. > > Très bonne journée > ++ > > Le mar. 20 oct. 2020 à 08:27, David Cheniclet > a > écrit : > > > Bonjour, > > > > Dans le cadre PCI-DSS il y a deux environnements qui sont audités : > > - CDE : là où transite et où sont stocké les éléments des CB. > > - CCDE : tous les équipements qui sont connectés au CDE (par ex, la > > supervision, les backups, dns, ntp, etc...). > > > > Pour avoir subit quelques audits PCI, je te conseil de passer par un > > presta qui est déjà certifié car le temps passer à documenter et > maintenir > > une infra PCI est vraiment énorme. > > > > Cordialement, > > David > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Merci à tous pour vos réponses ! cela va grandement nous aider. je n'hésiterai pas à revenir vers vous pour vous faire part de nos avancées. Très bonne journée ++ Le mar. 20 oct. 2020 à 08:27, David Cheniclet a écrit : > Bonjour, > > Dans le cadre PCI-DSS il y a deux environnements qui sont audités : > - CDE : là où transite et où sont stocké les éléments des CB. > - CCDE : tous les équipements qui sont connectés au CDE (par ex, la > supervision, les backups, dns, ntp, etc...). > > Pour avoir subit quelques audits PCI, je te conseil de passer par un > presta qui est déjà certifié car le temps passer à documenter et maintenir > une infra PCI est vraiment énorme. > > Cordialement, > David > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Bonjour, Dans le cadre PCI-DSS il y a deux environnements qui sont audités : - CDE : là où transite et où sont stocké les éléments des CB. - CCDE : tous les équipements qui sont connectés au CDE (par ex, la supervision, les backups, dns, ntp, etc...). Pour avoir subit quelques audits PCI, je te conseil de passer par un presta qui est déjà certifié car le temps passer à documenter et maintenir une infra PCI est vraiment énorme. Cordialement, David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Pas mieux : limitation au maximum du périmètre. Le périmètre comprends aussi bien le (s) serveur (s) contenant les données des cartes bancaires, mais également le stockage utilisé (chiffrement au repos) et/ou la base de données utilisée, ainsi que les postes de travail des administrateurs, et le contrôle d'accès à l'ensemble. Pour chaque élément du périmètre, prévoir un guide de sécurité, une procédure (et des délais) de mise à jour et les preuves et la traçabilité à fournir aux auditeurs. Bonne chance, je viens de sortir (avec succès) de cet audit et c'est éprouvant. On Thu, Oct 15, 2020, 12:46 Mathieu Dessus wrote: > Bonjour, > > Comme tu le dis, tu as intérêt à limiter au maximum le nombre de services > qui sont inclus dans ta bulle PCI pour éviter toutes les contraintes > associées à PCI-DSS. Mais si des numéros de carte bleue sont stockés, ou > transitent en clair sur un équipement, les contraintes PCI-DSS s'appliquent > aussi à ce dernier, donc les serveurs de transcription également. > > Cdlt > > Note: je ne suis pas forcément à jour des dernières évolution du standard, > mais je ne pense pas que ce point ait changé. Et la décision finale > reviendra à ton QSA. > > On Thu, 15 Oct 2020 at 11:55, Mickael Hubert wrote: > > > Bonjour à tous, > > j'ai une petite question dont je ne trouve pas encore la réponse. > > > > Nous allons bientôt traiter des appels bancaire sous forme > d'enregistrement > > audio. Le traitement sera une transcription complète de l'appel (STT), > dont > > les données bancaires (Ex: numéros de carte bleue dictés lors de > l'appel). > > Notre client nous demande d'être PCI-DSS pour pouvoir travailler avec, > mais > > quel service doit-être PCI-DSS ? > > J'imagine que le stockage à plat de ces audios lui doit-être PCI-DSS, > mais > > les serveurs de transcription doivent-ils l'être ? > > En fait, j'ai entendu dire qu'une donnée bancaire qui ne faisait que > > transiter pendant quelques millisecondes par un serveur, celui-ci n'avait > > pas besoin d'être PCI. > > A partir du moment ou ces traitements sont enfermés dans un vlan 100% > privé > > (genre DMZ). > > > > Auriez-vous des infos sur ce type de sujet s'il vous plaît ? > > L'idée serait de passer par un hébergeur PCI-DSS, mais bien entendu de > > mettre le moins possible chez lui, au vu de la différence de prix de ce > > type d'hébergement. > > > > Un grand merci d'avance pour votre aide ! > > ++ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Bonjour, Comme tu le dis, tu as intérêt à limiter au maximum le nombre de services qui sont inclus dans ta bulle PCI pour éviter toutes les contraintes associées à PCI-DSS. Mais si des numéros de carte bleue sont stockés, ou transitent en clair sur un équipement, les contraintes PCI-DSS s'appliquent aussi à ce dernier, donc les serveurs de transcription également. Cdlt Note: je ne suis pas forcément à jour des dernières évolution du standard, mais je ne pense pas que ce point ait changé. Et la décision finale reviendra à ton QSA. On Thu, 15 Oct 2020 at 11:55, Mickael Hubert wrote: > Bonjour à tous, > j'ai une petite question dont je ne trouve pas encore la réponse. > > Nous allons bientôt traiter des appels bancaire sous forme d'enregistrement > audio. Le traitement sera une transcription complète de l'appel (STT), dont > les données bancaires (Ex: numéros de carte bleue dictés lors de l'appel). > Notre client nous demande d'être PCI-DSS pour pouvoir travailler avec, mais > quel service doit-être PCI-DSS ? > J'imagine que le stockage à plat de ces audios lui doit-être PCI-DSS, mais > les serveurs de transcription doivent-ils l'être ? > En fait, j'ai entendu dire qu'une donnée bancaire qui ne faisait que > transiter pendant quelques millisecondes par un serveur, celui-ci n'avait > pas besoin d'être PCI. > A partir du moment ou ces traitements sont enfermés dans un vlan 100% privé > (genre DMZ). > > Auriez-vous des infos sur ce type de sujet s'il vous plaît ? > L'idée serait de passer par un hébergeur PCI-DSS, mais bien entendu de > mettre le moins possible chez lui, au vu de la différence de prix de ce > type d'hébergement. > > Un grand merci d'avance pour votre aide ! > ++ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Bonjour à tous, j'ai une petite question dont je ne trouve pas encore la réponse. Nous allons bientôt traiter des appels bancaire sous forme d'enregistrement audio. Le traitement sera une transcription complète de l'appel (STT), dont les données bancaires (Ex: numéros de carte bleue dictés lors de l'appel). Notre client nous demande d'être PCI-DSS pour pouvoir travailler avec, mais quel service doit-être PCI-DSS ? J'imagine que le stockage à plat de ces audios lui doit-être PCI-DSS, mais les serveurs de transcription doivent-ils l'être ? En fait, j'ai entendu dire qu'une donnée bancaire qui ne faisait que transiter pendant quelques millisecondes par un serveur, celui-ci n'avait pas besoin d'être PCI. A partir du moment ou ces traitements sont enfermés dans un vlan 100% privé (genre DMZ). Auriez-vous des infos sur ce type de sujet s'il vous plaît ? L'idée serait de passer par un hébergeur PCI-DSS, mais bien entendu de mettre le moins possible chez lui, au vu de la différence de prix de ce type d'hébergement. Un grand merci d'avance pour votre aide ! ++ --- Liste de diffusion du FRnOG http://www.frnog.org/
