Come isolare la conformità PCI

12

Attualmente elaboriamo, ma non archiviamo, i dati della carta di credito. Autorizziamo le carte tramite un'applicazione sviluppata autonomamente utilizzando l'API authorize.net.

Se possibile, vorremmo limitare tutti i requisiti di PCI che incidono sui nostri server (come l'installazione di Anti-Virus) in un ambiente separato e isolato. È possibile farlo pur mantenendo la conformità?

In tal caso, cosa costituirebbe un isolamento sufficiente? In caso contrario, esiste un luogo in cui tale ambito è chiaramente definito?

security  pci-dss 
Kyle Brandt
fonte
Quale livello di conformità PCI stai cercando di raggiungere? Se ti attieni al livello 4 hai solo bisogno di un questionario di autovalutazione e di essere scansionato rispetto a vulnerabilità note. semplice.
Ryan,
@ryan Il SAQ non è un proiettile magico. Sono gli stessi requisiti di un auditor. Non devi solo far entrare una parte esterna e verificare il tuo lavoro.
Zypher,
1
Il mio punto era che il livello PCI determina le restrizioni. Il livello 4 non richiede servizi separati perché non stai memorizzando i dati del titolare della carta.
Ryan,
@zypher vedi pcicomplianceguide.org/pcifaqs.php#6 "commercianti con sistemi di applicazione di pagamento connessi a Internet, nessuna memorizzazione dei dati dei titolari di carta " - il che significa che il questionario di autovalutazione PCI C è quello corretto in quel caso.
Jeff Atwood,

Risposte:

9

L'ultima volta che ho letto gli standard PCI, avevano i requisiti di isolamento dichiarati abbastanza bene (il termine tecnico in linguaggio PCI è quello di ridurre l' ambito dell'ambiente conforme PCI). Fintanto che quei server palesemente non conformi non hanno accesso alla zona conforme, dovrebbe volare. Sarebbe un segmento di rete completamente protetto da firewall dalla tua normale rete e le regole su quel firewall sono esse stesse conformi allo standard PCI.

Abbiamo fatto la stessa cosa da soli nel mio vecchio lavoro.

La cosa chiave da tenere a mente è che dal punto di vista della zona conforme a PCI tutto ciò che non è in zona deve essere trattato come Internet pubblico, indipendentemente dal fatto che sia anche la stessa rete che immagazzina anche il tuo IP aziendale. Finché lo fai, dovresti essere buono.

sysadmin1138
fonte
Presumo che l'accesso vada in entrambe le direzioni? Ad esempio, nel caso di Windows, avremmo bisogno di un dominio diverso, account utente ecc.? Dal momento che nessuno dei due env potrebbe usare l'altro per auth?
Kyle Brandt,
@KyleBrandt Non abbiamo mai avuto Windows soggetto a PCI-DSS, ma a causa di come funziona AD: sì, anche ambienti separati lì. Potresti voler eliminare alcune delle domande di chiarimento su security.se per ogni evenienza.
sysadmin1138
6

Questo è in realtà abbastanza comune. Facciamo regolarmente riferimento a / designiamo i computer come "in-scope for PCI".

Inoltre, "chiaramente" a volte non fa parte del lessico PCI. La lingua può essere vaga. Abbiamo scoperto che a volte l'approccio più semplice può essere quello di chiedere al revisore se una soluzione proposta funzionerebbe. Considerare quanto segue dal PCI-DSS V2:

"Senza un'adeguata segmentazione della rete (a volte chiamata" rete piatta ") l'intera rete rientra nell'ambito della valutazione PCI DSS. La segmentazione della rete può essere ottenuta attraverso una serie di mezzi fisici o logici, come firewall di rete interna correttamente configurati, router con elenchi di controllo degli accessi efficaci o altre tecnologie che limitano l'accesso a un particolare segmento di una rete. "

Ciò significa che un normale switch di rete soddisfa i requisiti? Sarebbe facile per loro dirlo, ma il gioco è fatto. Sono "altre tecnologie che limitano l'accesso a un particolare segmento di una rete". Un altro dei miei preferiti sull'ambito:

"... Le applicazioni includono tutte le applicazioni acquistate e personalizzate, comprese le applicazioni interne ed esterne (ad esempio Internet)."

Non sono sicuro della parte AD, ma abbiamo HIDS e antivirus su tutti i nostri controller di dominio, quindi sospetto che potrebbe esserlo.

Greg Askew
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.