Obecnie przetwarzamy, ale nie przechowujemy danych karty kredytowej. Autoryzujemy karty za pośrednictwem samodzielnie opracowanej aplikacji przy użyciu interfejsu API authorize.net.
Jeśli to możliwe, chcielibyśmy ograniczyć wszystkie wymagania PCI, które wpływają na nasze serwery (takie jak instalacja antywirusa), do oddzielnego, oddzielnego środowiska. Czy można to zrobić, zachowując zgodność?
Jeśli tak, co stanowiłoby wystarczającą izolację? Jeśli nie, to czy jest gdzieś, gdzie zakres ten jest jasno określony?
Odpowiedzi:
Ostatnim razem, gdy czytałem standardy PCI, dość dobrze określono wymagania dotyczące izolacji (termin techniczny w języku PCI to ograniczenie zakresu środowiska zgodnego z PCI). Tak długo, jak te jawnie niezgodne serwery mają zerowy dostęp do strefy zgodnej, powinien latać. Byłby to segment sieci, który jest w pełni zapory ogniowej w stosunku do normalnej sieci, a reguły tej zapory są zgodne z PCI.
Zrobiliśmy to samo w mojej starej pracy.
Kluczową rzeczą, o której należy pamiętać, jest to, że z punktu widzenia strefy zgodnej ze standardem PCI wszystko , co nie znajduje się w strefie, należy traktować jak publiczny Internet, niezależnie od tego, czy jest to ta sama sieć, która również przechowuje korporacyjny adres IP. Tak długo, jak to robisz, powinieneś być dobry.
źródło
Jest to w rzeczywistości dość powszechne. Rutynowo nazywamy / określamy komputery jako „objęte zakresem PCI”.
Ponadto „wyraźnie” czasami nie jest częścią leksykonu PCI. Język może być niejasny. Stwierdziliśmy, że czasami najprostszym podejściem może być zapytanie audytora, czy proponowane rozwiązanie zadziałałoby. Rozważ następujące kwestie z PCI-DSS V2:
„Bez odpowiedniej segmentacji sieci (czasami nazywanej„ siecią płaską ”) cała sieć jest objęta oceną PCI DSS. Segmentacji sieci można dokonać za pomocą wielu fizycznych lub logicznych środków, takich jak odpowiednio skonfigurowane wewnętrzne zapory sieciowe, routery z silne listy kontroli dostępu lub inne technologie ograniczające dostęp do określonego segmentu sieci. ”
Czy to oznacza, że normalny przełącznik sieciowy spełnia wymagania? Łatwo byłoby im to powiedzieć, ale proszę bardzo. Są to „inne technologie ograniczające dostęp do określonego segmentu sieci”. Kolejny z moich ulubionych na temat zakresu:
„... Aplikacje obejmują wszystkie zakupione i niestandardowe aplikacje, w tym aplikacje wewnętrzne i zewnętrzne (na przykład Internet).”
Nie jestem pewien co do części AD, ale mamy HIDS i antywirus na wszystkich naszych DC, więc podejrzewam, że tak może być.
źródło