PCI Uyumluluğu Nasıl İzole Edilir

Şu anda kredi kartı verilerini işliyoruz, ancak saklamıyoruz. Kartları, authorize.net API'sini kullanarak kendi geliştirdiğimiz bir uygulama ile yetkilendiriyoruz.

Mümkünse, sunucularımızı (Anti-Virüs kurmak gibi) etkileyen tüm PCI gereksinimlerini ayrı bir ayrı ortamla sınırlamak istiyoruz . Hala uyumu korurken bunu yapmak mümkün mü?

Eğer öyleyse, yeterli izolasyonu ne oluşturur? Değilse, bu kapsamın açıkça tanımlandığı bir yer var mı?

security pci-dss

— Kyle Brandt
kaynak

Hangi PCI uyumluluk düzeyini sağlamaya çalışıyorsunuz? 4. seviyeye bağlı kalırsanız, sadece bir öz değerlendirme anketine ihtiyacınız vardır ve bilinen güvenlik açıklarına karşı taranırsınız. basit.

— Ryan

@ryan SAQ sihirli bir kurşun değildir. Bir denetçinin gelmesi ile aynı gereklilikler. Sadece harici bir partinin gelip çalışmanızı doğrulamasına gerek yoktur.

— Zypher

Demek istediğim PCI seviyesi kısıtlamaları belirledi. Seviye 4, kart sahibi verilerini saklamadığınız için ayrı hizmetler gerektirmez.

— Ryan

@zypher bkz. pcicomplianceguide.org/pcifaqs.php#6 "İnternete bağlı ödeme uygulama sistemleri olan satıcılar, kart sahibi veri depolaması yok " - bu, PCI öz değerlendirme anketi C'nin doğru olduğu anlamına gelir .

— Jeff Atwood

Yanıtlar:

PCI standartlarını en son okuduğumda, yalıtım gereksinimlerini oldukça iyi ifade ettiler (PCI dilinde teknik terim , PCI uyumlu ortamın kapsamını azaltmaktır ). Kesinlikle uyumlu olmayan sunucular, uyumlu bölgeye sıfır erişime sahip oldukları sürece uçmalıdır. Bu, normal ağınızdan tamamen güvenlik duvarı olan bir ağ kesimi olacaktır ve bu güvenlik duvarındaki kuralların kendileri PCI uyumludur.

Aynı şeyi eski işimde de kendimiz yaptık.

Akılda tutulması gereken en önemli şey , PCI uyumlu bölge perspektifinden, bölgedeki her şeyin, aynı zamanda kurumsal IP'nizi de depolayan aynı ağ olsa da, genel İnternet gibi davranılmasıdır. Bunu yaptığınız sürece, iyi olmalısınız.

— sysadmin1138
kaynak

Erişim her iki yönde de var sanırım? Yani örneğin Windows için farklı bir alan adı ve kullanıcı hesabı vb. Gerekir mi? Her ikisi de diğerini kimlik doğrulaması için kullanamaz mı?

— Kyle Brandt

@KyleBrandt PCI-DSS'ye tabi hiçbir Windows'umuz olmadı, ancak AD'nin çalışması nedeniyle: evet, orada ayrı ortamlar da var. Her ihtimale karşı güvenlikle ilgili açıklayıcı soruların bazılarını bırakmak isteyebilirsiniz.

— sysadmin1138

Bu aslında oldukça yaygın. Bilgisayarlara rutin olarak "PCI için kapsam" diyoruz.

Ayrıca, "açıkça" bazen PCI sözlüğünün bir parçası değildir. Dil belirsiz olabilir. Bazen en basit yaklaşımın denetçiye önerilen bir çözümün işe yarayıp yaramayacağını sormak olabileceğini bulduk. PCI-DSS V2'den aşağıdakileri göz önünde bulundurun:

"Yeterli ağ segmentasyonu (bazen" düz ağ "olarak da adlandırılır) olmadan tüm ağ PCI DSS değerlendirmesi kapsamındadır. Ağ segmentasyonu, düzgün yapılandırılmış dahili ağ güvenlik duvarları, yönlendiriciler gibi bir dizi fiziksel veya mantıksal yolla elde edilebilir güçlü erişim kontrol listeleri veya bir ağın belirli bir bölümüne erişimi kısıtlayan diğer teknolojiler. "

Bu normal bir ağ anahtarının gereksinimleri karşıladığı anlamına mı geliyor? Bunu söylemeleri kolay olurdu, ama işte gidiyorsunuz. "Bir ağın belirli bir bölümüne erişimi kısıtlayan diğer teknolojilerdir". Kapsamla ilgili favorilerimden bir diğeri:

"... Uygulamalar, dahili ve harici (örneğin, Internet) uygulamalar da dahil olmak üzere, satın alınan ve özel tüm uygulamaları içerir."

AD bölümünden emin değilim, ancak tüm DC'lerimizde HIDS ve antivirüs var, bu yüzden olabileceğinden şüpheleniyorum.

— Greg Askew
kaynak