Як виділити відповідність PCI

Зараз ми обробляємо дані кредитних карт, але не зберігаємо їх. Ми авторизуємо картки через самостійно розроблений додаток, використовуючи API authorize.net.

Якщо можливо, ми хотіли б обмежити всі вимоги PCI, які впливають на наші сервери (наприклад, встановлення Антивірусу) на окреме окреме середовище. Це можливо зробити, зберігаючи відповідність?

Якщо так, що може бути достатньою ізоляцією? Якщо ні, чи є десь ця сфера чітко визначена?

security pci-dss

— Кайл Брандт
джерело

Якого рівня відповідності PCI ви намагаєтеся досягти? Якщо ви дотримуєтесь рівня 4, вам просто потрібен опитувальник для самооцінки та сканування на предмет відомих уразливостей. простий.

— Райан

@ryan SAQ - це не чарівна куля. Це ті самі вимоги, що і до залучення аудитора. Вам просто не потрібно приймати сторонніх учасників і перевіряти свою роботу.

— Zypher

Моя думка полягала в тому, що рівень PCI визначає обмеження. Рівень 4 не вимагає окремих служб, оскільки ви не зберігаєте дані власників карт.

— Райан

@zypher див. pcicomplianceguide.org/pcifaqs.php#6 "торговці із системами платіжних додатків, підключеними до Інтернету, без зберігання даних власників картки " - це означає, що опитувальник самооцінки PCI C є правильним у цьому випадку.

— Джефф Етвуд

Відповіді:

Востаннє, коли я читав стандарти PCI, вони досить чітко заявляли вимоги до ізоляції (технічний термін мовою PCI полягає у зменшенні обсягу середовища, сумісного з PCI). Поки ці явно невідповідні сервери мають нульовий доступ до сумісної зони, вона повинна літати. Це буде мережевий сегмент, який повністю захищений від вашої звичайної мережі, а правила щодо цього брандмауера самі сумісні з PCI.

Ми багато чого зробили самі на моїй старій роботі.

Головне, що потрібно пам’ятати, це те, що з точки зору сумісної з PCI зоною, все, що не знаходиться в зоні, має трактуватися як публічний Інтернет, незалежно від того, чи це також та сама мережа, яка також зберігає ваш корпоративний IP. Поки ти робиш це, ти повинен бути хорошим.

— sysadmin1138
джерело

Я припускаю, що доступ йде обома способами? Так, наприклад, у випадку з Windows нам потрібні різні облікові записи домену та користувачів тощо? Оскільки жодна env не могла використати іншу для auth?

— Кайл Брандт

@KyleBrandt У нас ніколи не було підпорядкованих Windows PCI-DSS, але завдяки тому, як працює AD: так, також є окремі середовища. На всякий випадок, ви можете залишити деякі уточнюючі питання на security.se.

— sysadmin1138

Це насправді досить часто. Ми звичайно називаємо / позначаємо комп’ютери як "видимі для PCI".

Крім того, "явно" іноді не є частиною лексики PCI. Мова може бути розпливчастою. Ми виявили, що іноді найпростішим підходом може бути запитання аудитора, чи запропоноване рішення спрацює. Розглянемо наступне з PCI-DSS V2:

"Без адекватної сегментації мережі (іноді її називають" плоскою мережею ") вся мережа перебуває в межах оцінки PCI DSS. Сегментація мережі може бути досягнута за допомогою ряду фізичних або логічних засобів, таких як правильно налаштовані внутрішні мережеві брандмауери, маршрутизатори з потужні списки контролю доступу чи інші технології, що обмежують доступ до певного сегмента мережі ".

Чи означає це, що звичайний мережевий комутатор відповідає вимогам? Їм було б легко сказати це, але ви йдете. Це "інші технології, які обмежують доступ до певного сегмента мережі". Ще один із моїх улюблених щодо сфери застосування:

"... До додатків належать усі придбані та власні програми, включаючи внутрішні та зовнішні (наприклад, Інтернет) програми."

Я не впевнений у частині AD, але у нас є HIDS та антивірус у всіх наших DC, тому я підозрюю, що це може бути.

— Грег Аскеу
джерело