Мы создали обратное прокси-устройство (мост), которое передает все данные в сеть и из нее. см. схему ниже.
|------------------------LAN----------------------------|
User --- Access Point --- Switch ---- Proxy --- Gateway --- WAN
Предположим, что платежи осуществляются через эту локальную сеть, но никакие данные HTTPS не хранятся и не обрабатываются в прокси-сервере.
Должен ли обратный прокси-сервер (использующий Ubuntu 14.04 с утилитами моста) соответствовать стандарту PCI-DSS?
Область действия — сложная часть PCI-DSS. Общее правило заключается в том, что если устройство может подключиться к CDE, оно находится в области действия.
Самый простой способ выяснить это — выяснить, где именно находится ваша CDE, а затем изолировать ее с помощью чрезвычайно ограничивающего брандмауэра. Когда вы открываете порты брандмауэра, чтобы разрешить службам (т. е. обратному прокси-серверу) подключаться к CDE, добавьте эти службы в свою область. В качестве альтернативы вы можете провести мысленный эксперимент. Если крайне злонамеренный субъект получил контроль над устройством а, может ли он/она направить данные кредитной карты куда-то еще?
