Jak izolować zgodność z PCI

12

Obecnie przetwarzamy, ale nie przechowujemy danych karty kredytowej. Autoryzujemy karty za pośrednictwem samodzielnie opracowanej aplikacji przy użyciu interfejsu API authorize.net.

Jeśli to możliwe, chcielibyśmy ograniczyć wszystkie wymagania PCI, które wpływają na nasze serwery (takie jak instalacja antywirusa), do oddzielnego, oddzielnego środowiska. Czy można to zrobić, zachowując zgodność?

Jeśli tak, co stanowiłoby wystarczającą izolację? Jeśli nie, to czy jest gdzieś, gdzie zakres ten jest jasno określony?

Kyle Brandt
źródło
Jaki poziom zgodności PCI próbujesz osiągnąć? Jeśli trzymasz się poziomu 4, potrzebujesz jedynie kwestionariusza samooceny i przeskanowania w poszukiwaniu znanych luk. prosty.
Ryan
@ryan SAQ nie jest magiczną kulą. To te same wymagania, co do wejścia audytora. Po prostu nie musisz przychodzić z zewnątrz i sprawdzać swojej pracy.
Zypher,
1
Chodzi mi o to, że poziom PCI określa ograniczenia. Poziom 4 nie wymaga oddzielnych usług, ponieważ nie przechowujesz danych posiadacza karty.
Ryan,
@zypher patrz pcicomplianceguide.org/pcifaqs.php#6 „handlowcy z systemami aplikacji płatniczych podłączonymi do Internetu, brak przechowywania danych posiadaczy kart ” - co oznacza, że kwestionariusz C samooceny PCI jest poprawny w tym przypadku.
Jeff Atwood

Odpowiedzi:

9

Ostatnim razem, gdy czytałem standardy PCI, dość dobrze określono wymagania dotyczące izolacji (termin techniczny w języku PCI to ograniczenie zakresu środowiska zgodnego z PCI). Tak długo, jak te jawnie niezgodne serwery mają zerowy dostęp do strefy zgodnej, powinien latać. Byłby to segment sieci, który jest w pełni zapory ogniowej w stosunku do normalnej sieci, a reguły tej zapory są zgodne z PCI.

Zrobiliśmy to samo w mojej starej pracy.

Kluczową rzeczą, o której należy pamiętać, jest to, że z punktu widzenia strefy zgodnej ze standardem PCI wszystko , co nie znajduje się w strefie, należy traktować jak publiczny Internet, niezależnie od tego, czy jest to ta sama sieć, która również przechowuje korporacyjny adres IP. Tak długo, jak to robisz, powinieneś być dobry.

sysadmin1138
źródło
Zakładam, że dostęp przebiega w obie strony? Na przykład w przypadku systemu Windows potrzebowalibyśmy innej domeny i kont użytkowników itp.? Skoro żadna env nie mogła użyć drugiej do uwierzytelnienia?
Kyle Brandt,
@KyleBrandt Nigdy nie mieliśmy żadnego systemu Windows podlegającego PCI-DSS, ale ze względu na sposób działania AD: tak, również oddzielne środowiska. Na wszelki wypadek możesz rzucić niektóre pytania wyjaśniające na security.se.
sysadmin1138
6

Jest to w rzeczywistości dość powszechne. Rutynowo nazywamy / określamy komputery jako „objęte zakresem PCI”.

Ponadto „wyraźnie” czasami nie jest częścią leksykonu PCI. Język może być niejasny. Stwierdziliśmy, że czasami najprostszym podejściem może być zapytanie audytora, czy proponowane rozwiązanie zadziałałoby. Rozważ następujące kwestie z PCI-DSS V2:

„Bez odpowiedniej segmentacji sieci (czasami nazywanej„ siecią płaską ”) cała sieć jest objęta oceną PCI DSS. Segmentacji sieci można dokonać za pomocą wielu fizycznych lub logicznych środków, takich jak odpowiednio skonfigurowane wewnętrzne zapory sieciowe, routery z silne listy kontroli dostępu lub inne technologie ograniczające dostęp do określonego segmentu sieci. ”

Czy to oznacza, że ​​normalny przełącznik sieciowy spełnia wymagania? Łatwo byłoby im to powiedzieć, ale proszę bardzo. Są to „inne technologie ograniczające dostęp do określonego segmentu sieci”. Kolejny z moich ulubionych na temat zakresu:

„... Aplikacje obejmują wszystkie zakupione i niestandardowe aplikacje, w tym aplikacje wewnętrzne i zewnętrzne (na przykład Internet).”

Nie jestem pewien co do części AD, ale mamy HIDS i antywirus na wszystkich naszych DC, więc podejrzewam, że tak może być.

Greg Askew
źródło