Cách cô lập tuân thủ PCI

Chúng tôi hiện đang xử lý, nhưng không lưu trữ dữ liệu thẻ tín dụng. Chúng tôi ủy quyền các thẻ thông qua một ứng dụng tự phát triển bằng API Authorize.net.

Nếu có thể, chúng tôi muốn giới hạn tất cả các yêu cầu của PCI ảnh hưởng đến các máy chủ của chúng tôi (chẳng hạn như cài đặt Anti-Virus) vào một môi trường riêng biệt. Điều đó có thể làm trong khi vẫn duy trì sự tuân thủ?

Nếu vậy, những gì sẽ tạo thành sự cô lập hiệu quả? Nếu không, có nơi nào phạm vi đó được xác định rõ ràng?

security pci-dss

— Kyle Brandt
nguồn

Mức độ tuân thủ PCI nào bạn đang cố gắng đạt được? Nếu bạn gắn bó với cấp độ 4, bạn chỉ cần một bảng câu hỏi tự đánh giá và được quét chống lại các lỗ hổng đã biết. đơn giản.

— Ryan

@ryan SAQ không phải là một viên đạn ma thuật. Đó là những yêu cầu tương tự như có một kiểm toán viên đến. Bạn không cần phải có một bên ngoài đến và xác minh công việc của bạn.

— Zypher

Quan điểm của tôi là mức PCI xác định các hạn chế. Cấp 4 không yêu cầu dịch vụ riêng biệt vì bạn không lưu trữ dữ liệu chủ thẻ.

— Ryan

@zypher xem pcicomplianceguide.org/pcifaqs.php#6 "thương nhân có hệ thống ứng dụng thanh toán được kết nối với internet, không lưu trữ dữ liệu chủ thẻ " - có nghĩa là câu hỏi tự đánh giá PCI C là câu hỏi chính xác trong trường hợp đó.

— Jeff Atwood

Câu trả lời:

Lần cuối cùng tôi đọc các tiêu chuẩn PCI, chúng có các yêu cầu cách ly được nêu khá rõ (thuật ngữ kỹ thuật trong ngôn ngữ PCI là để giảm phạm vi của môi trường tuân thủ PCI). Chừng nào những máy chủ không tuân thủ một cách trắng trợn không có quyền truy cập vào vùng tuân thủ, thì nó sẽ bay. Đó sẽ là một phân đoạn mạng được tường lửa hoàn toàn từ mạng bình thường của bạn và các quy tắc trên tường lửa đó tự tuân thủ PCI.

Chúng tôi đã làm nhiều điều tương tự chính mình ở công việc cũ của tôi.

Điều quan trọng cần ghi nhớ là từ góc độ của khu vực tuân thủ PCI, mọi thứ không nằm trong khu vực này đều phải được đối xử như Internet công cộng, bất kể đó có phải là cùng một mạng lưu trữ IP công ty của bạn hay không. Miễn là bạn làm điều đó, bạn nên tốt.

— sysadmin1138
nguồn

Tôi cho rằng truy cập đi cả hai chiều? Vì vậy, ví dụ trong trường hợp của Windows, chúng ta sẽ cần một tên miền và tài khoản người dùng khác, v.v.? Vì không env có thể sử dụng cái khác cho auth?

— Kyle Brandt

@KyleBrandt Chúng tôi chưa bao giờ có bất kỳ chủ đề Windows nào đối với PCI-DSS, nhưng do cách thức hoạt động của AD: vâng, cũng có các môi trường riêng biệt. Bạn có thể muốn bỏ một số câu hỏi làm rõ tại security.se chỉ trong trường hợp.

— sysadmin1138

Điều này thực sự khá phổ biến. Chúng tôi thường xuyên gọi / chỉ định máy tính là "trong phạm vi cho PCI".

Ngoài ra, "rõ ràng" đôi khi không phải là một phần của từ vựng PCI. Ngôn ngữ có thể mơ hồ. Chúng tôi đã thấy rằng đôi khi cách tiếp cận đơn giản nhất có thể là hỏi kiểm toán viên xem một giải pháp được đề xuất có hiệu quả không. Hãy xem xét những điều sau đây từ PCI-DSS V2:

"Không có phân đoạn mạng phù hợp (đôi khi được gọi là" mạng phẳng "), toàn bộ mạng nằm trong phạm vi đánh giá PCI DSS. Phân đoạn mạng có thể đạt được thông qua một số phương tiện vật lý hoặc logic, như tường lửa mạng được định cấu hình đúng, bộ định tuyến với danh sách kiểm soát truy cập mạnh hoặc các công nghệ khác hạn chế quyền truy cập vào một phân khúc cụ thể của mạng. "

Điều đó có nghĩa là một chuyển đổi mạng bình thường đáp ứng các yêu cầu? Họ sẽ dễ dàng nói như vậy, nhưng bạn hãy đi đi. Đó là "các công nghệ khác hạn chế quyền truy cập vào một phân khúc cụ thể của mạng." Một mục yêu thích khác của tôi về phạm vi:

"... Các ứng dụng bao gồm tất cả các ứng dụng đã mua và tùy chỉnh, bao gồm các ứng dụng bên trong và bên ngoài (ví dụ: Internet)."

Tôi không chắc chắn về phần AD, nhưng chúng tôi có HIDS và phần mềm chống vi-rút trên tất cả các DC của chúng tôi, vì vậy tôi nghi ngờ rằng nó có thể.

— Greg Askew
nguồn