วิธีแยกมาตรฐาน PCI

ขณะนี้เรากำลังดำเนินการ แต่อย่าเก็บข้อมูลบัตรเครดิต เราอนุญาตบัตรผ่านแอปพลิเคชันที่พัฒนาขึ้นเองโดยใช้ authorize.net API

หากเป็นไปได้เราต้องการ จำกัด ข้อกำหนดทั้งหมดของ PCI ที่มีผลต่อเซิร์ฟเวอร์ของเรา(เช่นการติดตั้งโปรแกรมป้องกันไวรัส) ในสภาพแวดล้อมที่แยกต่างหาก เป็นไปได้ที่จะทำในขณะที่ยังคงปฏิบัติตาม?

ถ้าเป็นเช่นนั้นสิ่งที่จะแยกความพอเพียง? ถ้าไม่มีขอบเขตที่กำหนดไว้ชัดเจนหรือไม่

security pci-dss

— ไคล์แบรนด์
แหล่งที่มา

คุณพยายามทำตาม PCI ระดับใด หากคุณติดกับระดับ 4 คุณเพียงแค่ต้องใช้แบบสอบถามประเมินตนเองและสแกนหาช่องโหว่ที่รู้จัก ง่าย

— Ryan

@ryan The SAQ ไม่ใช่กระสุนวิเศษ ความต้องการเช่นเดียวกับการมีผู้สอบบัญชีเข้ามาคุณไม่จำเป็นต้องมีบุคคลภายนอกเข้ามาและตรวจสอบงานของคุณ

— Zypher

ประเด็นของฉันคือระดับ PCI กำหนดข้อ จำกัด ระดับ 4 ไม่ต้องการบริการแยกเนื่องจากคุณไม่ได้จัดเก็บข้อมูลผู้ถือบัตร

— Ryan

@zypher เห็นpcicomplianceguide.org/pcifaqs.php#6 "พ่อค้าที่มีระบบแอพพลิเคชั่นการชำระเงินที่เชื่อมต่อกับอินเทอร์เน็ตไม่มีที่เก็บข้อมูลของผู้ถือบัตร " - ซึ่งหมายความว่าแบบสอบถามการประเมินตนเอง PCI Cเป็นสิ่งที่ถูกต้องในกรณีนั้น

— Jeff Atwood

คำตอบ:

ครั้งสุดท้ายที่ฉันอ่านมาตรฐาน PCI พวกเขามีข้อกำหนดด้านการแยกระบุไว้ค่อนข้างดี (ศัพท์ทางเทคนิคในภาษา PCI คือการลดขอบเขตของสภาพแวดล้อมที่สอดคล้องกับ PCI) ตราบใดที่เซิร์ฟเวอร์ที่ไม่สอดคล้องกันเหล่านั้นมีการเข้าถึงโซนที่สอดคล้องกันอย่างไม่มีเงื่อนไขก็ควรทำการบิน นั่นจะเป็นส่วนเครือข่ายที่ไฟร์วอลล์เต็มรูปแบบจากเครือข่ายปกติของคุณและกฎของไฟร์วอลล์นั้นเป็นไปตามมาตรฐาน PCI

เราทำสิ่งเดียวกันกับตัวเองในงานเก่าของฉัน

สิ่งสำคัญที่ต้องจำไว้คือจากมุมมองของโซนที่สอดคล้องกับ PCIทุกอย่างที่ไม่อยู่ในโซนนั้นจะต้องได้รับการปฏิบัติเช่นเดียวกับอินเทอร์เน็ตสาธารณะไม่ว่าจะเป็นเครือข่ายเดียวกันกับคลังสินค้า IP ขององค์กรของคุณก็ตาม ตราบใดที่คุณทำเช่นนั้นคุณควรจะดี

— sysadmin1138
แหล่งที่มา

ฉันคิดว่าการเข้าถึงทำได้สองทาง? เช่นในกรณีของ Windows เราจะต้องมีโดเมนและบัญชีผู้ใช้อื่นหรือไม่? เนื่องจากทั้ง env ไม่สามารถใช้อันอื่นสำหรับการรับรองความถูกต้อง?

— Kyle Brandt

@ KyleBrandt เราไม่เคยมี Windows ใด ๆ กับ PCI-DSS แต่เนื่องจากวิธีการทำงานของโฆษณา: ใช่แล้วมีสภาพแวดล้อมที่แยกจากกันเช่นกัน คุณอาจต้องการส่งคำถามชี้แจงบางข้อไปที่ security.se ในกรณี

— sysadmin1138

นี่เป็นเรื่องธรรมดา เราอ้างถึง / กำหนดคอมพิวเตอร์เป็นประจำว่า "in-scope สำหรับ PCI"

นอกจากนี้ "ชัดเจน" บางครั้งก็ไม่ได้เป็นส่วนหนึ่งของคำศัพท์ PCI ภาษาอาจคลุมเครือ เราพบว่าบางครั้งวิธีที่ง่ายที่สุดคือการถามผู้ตรวจสอบว่าวิธีการที่เสนอมานั้นใช้ได้ผลหรือไม่ พิจารณาสิ่งต่อไปนี้จาก PCI-DSS V2:

"หากไม่มีการแบ่งส่วนเครือข่ายที่เพียงพอ (บางครั้งเรียกว่า" เครือข่ายแฟลต ") เครือข่ายทั้งหมดอยู่ในขอบเขตของการประเมิน PCI DSS การแบ่งส่วนเครือข่ายสามารถทำได้ด้วยวิธีทางกายภาพหรือทางตรรกะเช่นไฟร์วอลล์เครือข่ายภายในที่กำหนดค่าอย่างเหมาะสม รายการควบคุมการเข้าถึงที่รัดกุมหรือเทคโนโลยีอื่น ๆ ที่ จำกัด การเข้าถึงส่วนใดส่วนหนึ่งของเครือข่าย "

นั่นหมายความว่าสวิตช์เครือข่ายปกติตรงตามข้อกำหนดหรือไม่ มันจะง่ายสำหรับพวกเขาที่จะพูดเช่นนั้น แต่ไปที่นั่น เป็น "เทคโนโลยีอื่น ๆ ที่ จำกัด การเข้าถึงส่วนใดส่วนหนึ่งของเครือข่าย" อีกหนึ่งรายการโปรดของฉันเกี่ยวกับขอบเขต:

"... แอปพลิเคชันรวมถึงแอปพลิเคชันที่ซื้อและกำหนดเองทั้งหมดรวมถึงแอปพลิเคชันภายในและภายนอก (เช่นอินเทอร์เน็ต)"

ฉันไม่แน่ใจเกี่ยวกับชิ้นส่วนโฆษณา แต่เรามี HIDS และโปรแกรมป้องกันไวรัสใน DC ทั้งหมดของเราดังนั้นฉันจึงสงสัยว่าอาจเป็น

— เกร็กเบน
แหล่งที่มา