Как изолировать соответствие PCI

В настоящее время мы обрабатываем, но не храним данные кредитных карт. Мы авторизуем карты с помощью собственного приложения, используя API authorize.net.

Если возможно, мы хотели бы ограничить все требования PCI, которые влияют на наши серверы (например, установка Антивируса), в изолированную отдельную среду. Возможно ли это сделать при сохранении соответствия?

Если так, что будет представлять собой достаточную изоляцию? Если нет, есть ли где-то, где эта область четко определена?

security pci-dss

— Кайл Брандт
источник

Какой уровень соответствия PCI вы пытаетесь достичь? Если вы придерживаетесь 4-го уровня, вам просто нужен вопросник для самооценки и проверки на наличие известных уязвимостей. просто.

— Райан

@ryan SAQ не волшебная пуля. Это те же требования, что и при входе одитора. Вам просто не нужно, чтобы сторонняя организация приходила и проверяла вашу работу.

— Zypher

Моя точка зрения была, что уровень PCI определяет ограничения. Уровень 4 не требует отдельных услуг, потому что вы не храните данные держателя карты.

— Райан

@zypher, см. pcicomplianceguide.org/pcifaqs.php#6 « Продавцы с платежными системами, подключенными к Интернету, без хранения данных о держателях карт » - это означает, что вопросник самооценки PCI C в этом случае является правильным.

— Джефф Этвуд

Ответы:

В последний раз, когда я читал стандарты PCI, у них были достаточно четко сформулированные требования к изоляции (технический термин в языке PCI - сокращение объема среды, совместимой с PCI). Пока эти вопиюще несовместимые серверы не имеют нулевого доступа к соответствующей зоне, они должны летать. Это будет сетевой сегмент, который полностью защищен от обычной сети, а правила этого брандмауэра сами соответствуют PCI.

Мы сделали то же самое на моей старой работе.

Главное, что нужно иметь в виду, это то, что с точки зрения зоны, совместимой с PCI, все, что не находится в этой зоне, должно рассматриваться как общедоступный Интернет, независимо от того, является ли эта сеть той же самой сетью, которая также хранит ваш корпоративный IP. Пока вы делаете это, вы должны быть хорошими.

— sysadmin1138
источник

Я предполагаю, что доступ идет в обе стороны? Так, например, в случае с Windows нам понадобится другой домен, учетные записи пользователей и т. Д.? Поскольку ни один из env не может использовать другой для аутентификации?

— Кайл Брандт

@KyleBrandt У нас никогда не было Windows, подверженной PCI-DSS, но из-за того, как работает AD: да, там тоже есть отдельные среды. Вы можете оставить некоторые разъясняющие вопросы на security.se на всякий случай.

— sysadmin1138

Это на самом деле довольно часто. Мы обычно называем / обозначаем компьютеры как «входящие в состав PCI».

Кроме того, «ясно» иногда не является частью лексикона PCI. Язык может быть расплывчатым. Мы обнаружили, что иногда самый простой подход может заключаться в том, чтобы спросить аудитора, будет ли предложенное решение работать. Рассмотрим следующее из PCI-DSS V2:

«Без адекватной сегментации сети (иногда называемой« плоской сетью ») вся сеть находится в области оценки PCI DSS. Сегментация сети может быть достигнута с помощью ряда физических или логических средств, таких как правильно настроенные межсетевые экраны внутренней сети, маршрутизаторы с строгие списки контроля доступа или другие технологии, ограничивающие доступ к определенному сегменту сети ».

Означает ли это, что обычный сетевой коммутатор соответствует требованиям? Им было бы легко так сказать, но вот, пожалуйста. Это «другие технологии, которые ограничивают доступ к определенному сегменту сети». Еще один из моих любимых о сфере:

«... Приложения включают в себя все приобретенные и пользовательские приложения, включая внутренние и внешние (например, Интернет) приложения».

Я не уверен насчет AD, но у нас есть HIDS и антивирус на всех наших контроллерах домена, поэтому я подозреваю, что это может быть.

— Грег Аскью
источник