Payment Card Industry DSS - Съхраняване на данни за притежателя на карта в системи, които не са свързани с интернет

Заден план

Въпреки че прегледах някои публикации за stack-overflow, които частично покриват тази точка, все още не съм намерил такъв, който предоставя изчерпателен въпрос/отговор.

Като разработчик на POS системи PCI DSS има два компонента, от които се интересувам:

  • PA DSS (Приложение за плащане), което се отнася до софтуера, който разработвам
  • PCI DSS (Търговци), който се отнася до всички мои клиенти, които използват софтуера

PA DSS изглежда поставя точката най-откровено:

„9.1 Приложението за плащане трябва да бъде разработено така, че да не се изисква сървърът на базата данни и уеб сървърът да са на един и същи сървър, нито се изисква сървърът на базата данни да бъде в DMZ с уеб сървъра“

Процедури за тестване:

9.1.a За да проверите дали приложението за плащане съхранява данните на картодържателя във вътрешната мрежа и никога в DMZ, вземете доказателство, че приложението за плащане не изисква съхранение на данни в DMZ и ще позволи използването на DMZ за отделяне на интернет от системи, съхраняващи данни на картодържателя (напр. приложението за плащане не трябва да изисква сървърът на базата данни и уеб сървърът да са на един и същ сървър или в DMZ с уеб сървъра).

9.1.b Ако клиентите могат да съхраняват данни на картодържател на сървър, свързан с интернет, прегледайте Ръководството за внедряване на PA-DSS, изготвено от доставчика, за да проверите дали на клиентите и дистрибуторите/интеграторите е казано да не съхраняват данни на картодържател в достъпни от интернет системи (напр. уеб сървър и сървърът на базата данни не трябва да е на същия сървър).

И от PCI DSS на търговеца:

1.3.5 Ограничете изходящия трафик от средата с данни на картодържателя към Интернет, така че изходящият трафик да има достъп само до IP адреси в рамките на DMZ.

Въпрос

Въпросът ми е съвсем прост - могат ли базата данни и сървърът на приложения да са логически различни (на различни виртуализирани ОС) или трябва да са физически различни (на различни физически/специализирани сървъри)?

Освен това съм малко загрижен, че трябва да поставя сървър на база данни без каквато и да е връзка с интернет. Как трябва да администрирам този сървър дистанционно? Или е добре да получите достъп до сървъра на базата данни чрез сървъра на приложения - въпреки че със сигурност това проваля целта?


pci-dss
person tentux    schedule 12.07.2011    source източник

Отговори (1)


arrow_upward
0
arrow_downward

Няма лесен отговор, за съжаление.

SSC пусна ново допълнение относно виртуализацията, което съдържа подходяща информация: https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

Докато смесването на ОС за гости с различни функции на един и същ хипервайзор не е забранено, ще трябва да покажете, че сте помислили за допълнителния риск, който носи това.

Те също така ще трябва да бъдат логически разделени с мрежов трафик от една виртуална машина към друга, преминаващ през някакъв вид защитна стена, за да защити различните операционни системи и приложения. Това, че сте на един и същ физически хост, не е извинение за пропускане на контроли като защитна стена, така че може да се наложи да сте креативни относно това как отговаряте на тези изисквания.

person dfbpdave    schedule 20.12.2011