L'SSL è stato terminato con un sistema di bilanciamento del carico conforme PCI?

17

Ho letto questa bella domanda:

Il protocollo SSL deve essere terminato con un servizio di bilanciamento del carico?

E ho la stessa domanda, ma con la conformità PCI-DSS in mente.

Il servizio di bilanciamento del carico è terminato con SSL, con comunicazioni chiare tra il servizio di bilanciamento del carico e i server Web, conforme PCI?

Uso AWS Elastic Beanstalk, che sotto la cappa utilizza istanze EC2 e bilanciamento del carico.

    
posta Benjamin 28.09.2013 - 01:11
fonte

3 risposte

11

In base alla sezione 4.1 dello PCI Data Security Standard tutti i dati relativi alla carta di credito da parte del commerciante devono:

"...use strong cryptography and security protocols such as SSL/TLS or IPSEC to safeguard sensitive cardholder data during transmission over open, public networks.”

Ciò significa che SSL Front End è consentito, poiché una volta che i dati raggiungono l'LB, si considera che sia entrato in una rete privata protetta.

Inoltre, la Guida al programma dei fornitori di analisi approvati indica che tutti i server dietro un bilanciatore del carico sono esenti da scansioni interne se condividono una configurazione simile.

    
risposta data 28.09.2013 - 04:53
fonte
5

La risposta non è molto buona. Questa è una di quelle aree grigie di PCI e dipende molto dal tuo QSA ...

Nelle aziende in cui ho lavorato in passato, ci siamo allontanati, anche se abbiamo lavorato per ristabilire SSL sul back-end dei bilanciatori del carico perché è una buona pratica generale e un sovraccarico minimo. Questo si riduce alla porzione "open, public networks" di PCI DSS 4.1 (versione 2.0) .

4.1 Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.

La tua rete interna non è considerata una "rete pubblica aperta" e pertanto non è soggetta ai requisiti di crittografia. Onestamente, suggerirei comunque di crittografare il back-end, specialmente se stai usando un cloud pubblico.

Tieni presente che PCI DSS 3.0 è in programma per uscire presto e la conformità sarà prevista per il 2015 nella maggior parte dei casi ( bozza qui ). Non sembrano esserci possibilità nella specifica di richiedere SSL sul back-end.

    
risposta data 29.09.2013 - 03:16
fonte
0

In ogni caso (terminazione ssl o no) direi che il bilanciamento del carico è in ambito per la conformità pci, poiché il bilanciamento del carico decodifica i dati (possibilmente contenenti numeri di tessera) che riceve e poi li inoltra ai server appropriati.

Stabilito che è nel campo di applicazione, per essere considerato conforme dovrebbe rispettare tutti i requisiti PCI applicabili a un server che elabora i dati dei titolari di carta.

    
risposta data 18.11.2016 - 16:09
fonte

Leggi altre domande sui tag