В настоящее время мы обрабатываем, но не храним данные кредитных карт. Мы авторизуем карты с помощью собственного приложения, используя API authorize.net.
Если возможно, мы хотели бы ограничить все требования PCI, которые влияют на наши серверы (например, установка Антивируса), в изолированную отдельную среду. Возможно ли это сделать при сохранении соответствия?
Если так, что будет представлять собой достаточную изоляцию? Если нет, есть ли где-то, где эта область четко определена?
Ответы:
В последний раз, когда я читал стандарты PCI, у них были достаточно четко сформулированные требования к изоляции (технический термин в языке PCI - сокращение объема среды, совместимой с PCI). Пока эти вопиюще несовместимые серверы не имеют нулевого доступа к соответствующей зоне, они должны летать. Это будет сетевой сегмент, который полностью защищен от обычной сети, а правила этого брандмауэра сами соответствуют PCI.
Мы сделали то же самое на моей старой работе.
Главное, что нужно иметь в виду, это то, что с точки зрения зоны, совместимой с PCI, все, что не находится в этой зоне, должно рассматриваться как общедоступный Интернет, независимо от того, является ли эта сеть той же самой сетью, которая также хранит ваш корпоративный IP. Пока вы делаете это, вы должны быть хорошими.
источник
Это на самом деле довольно часто. Мы обычно называем / обозначаем компьютеры как «входящие в состав PCI».
Кроме того, «ясно» иногда не является частью лексикона PCI. Язык может быть расплывчатым. Мы обнаружили, что иногда самый простой подход может заключаться в том, чтобы спросить аудитора, будет ли предложенное решение работать. Рассмотрим следующее из PCI-DSS V2:
«Без адекватной сегментации сети (иногда называемой« плоской сетью ») вся сеть находится в области оценки PCI DSS. Сегментация сети может быть достигнута с помощью ряда физических или логических средств, таких как правильно настроенные межсетевые экраны внутренней сети, маршрутизаторы с строгие списки контроля доступа или другие технологии, ограничивающие доступ к определенному сегменту сети ».
Означает ли это, что обычный сетевой коммутатор соответствует требованиям? Им было бы легко так сказать, но вот, пожалуйста. Это «другие технологии, которые ограничивают доступ к определенному сегменту сети». Еще один из моих любимых о сфере:
«... Приложения включают в себя все приобретенные и пользовательские приложения, включая внутренние и внешние (например, Интернет) приложения».
Я не уверен насчет AD, но у нас есть HIDS и антивирус на всех наших контроллерах домена, поэтому я подозреваю, что это может быть.
источник