PCI-DSS: un'applicazione per server?

Naviga le tue risposte
14

Come interpreto il punto 2.2.1 per PCI-DSS? "Application server" è una "funzione primaria" o deve essere "programma x server", "programma y server" ecc.?

Ho una raccolta di applicazioni che eseguono il lato server all'interno del mio ambiente. Alcuni di questi interagiscono indirettamente con l'applicazione in cui risiedono i dati dei titolari di carta, altri no. Queste applicazioni hanno anche ruoli di gruppi diversi e autorizzazioni assegnate al loro interno e servono diversi reparti.

2.2.1 Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)

For example:

A database, which needs to have strong security measures in place, would be at risk sharing a server with a web application, which needs to be open and directly face the Internet. Failure to apply a patch to a seemingly minor function could result in a compromise that impacts other, more important functions (such as a database) on the same server.

This requirement is meant for all servers within the cardholder data environment (usually Unix, Linux, or Windows based). This requirement may not apply to systems which have the ability to natively implement security levels on a single server (e.g. mainframe).

    
posta Tim Brigham 18.12.2012 - 19:07
fonte

4 risposte

13

Quindi in pratica quello che dice il requisito è che è necessario assegnare una funzione primaria per server.

Il server che hai descritto suona come se utilizzasse alcune applicazioni per gli utenti di produzione. Questo sarebbe classificato come un server "application". Tuttavia, hai anche menzionato che ci sono più applicazioni su quel server, alcune toccano il CDE indirettamente e altre no. Sebbene questo server venga considerato con un ruolo principale, tiene conto dei controlli delle applicazioni che non toccano il CDE.

Se fossi in me, sposterei le applicazioni che non interagiscono con il CDE da quella casella e le sposterei su un altro server, se possibile in un segmento diverso. Se non hai una rete segmentata (cosa che dovresti fare davvero, davvero), allora tutto è in ogni caso, quindi questo consiglio non ha importanza.

    
risposta data 18.12.2012 - 20:27
fonte
11

L'ovvietà della conformità PCI-DSS è questa:

You are PCI-DSS compliant if your QSA says you are PSI-DSS compliant.

Sono dell'opinione che il consiglio del PCI abbia fatto un buon lavoro abbastanza puzzolente nel darci uno standard da seguire molto chiaro e chiaro, almeno per quanto riguarda gli standard. Detto questo, questo è uno di quei casi interessanti in cui il requisito sembra essere leggermente fuori di testa con l'intento.

Prendi il testo letterale dal requisito:

2.2.1 Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)

Proprio qui dice, la funzione primaria che potrebbe aprirti ad alcuni disaccordi. Si potrebbe dire che lo scopo primario di un determinato server è quello di memorizzare il database per il processore, mentre è anche configurato per eseguire il motore di reporting come una funzione secondaria.

Il Consiglio produce anche un altro documento chiamato "Navigazione su PCI DSS v2.0", disponibile per il download nella stessa posizione dello standard stesso. Questo documento va molto più dettagliatamente per ogni esigenza e tenta di spiegare l'intento dietro di loro.

This is intended to ensure your organization's system configuration standards and related processes address server functions that need to have different security levels, or that may introduce security weaknesses to other functions on the same server.

Ok, bello, mi piace. Ci dice che stanno cercando di separare in base al livello di sicurezza dei dati in questione. Quindi, in theory , se hai un'applicazione web che consente l'accesso diretto al database contenente i dati del titolare della carta e le uniche persone che hanno accesso a quella massima sensibilità dei dati avere accesso alla webapp, si potrebbe essere in grado di ospitarli entrambi sullo stesso sistema mantenendo la conformità. Tuttavia, se esiste uno strumento di reporting che fornisce dati statistici sulle transazioni, ma non i dati del titolare stesso, e un gruppo diverso di persone ha accesso ad esso? Sì, vorrai dividerlo.

Molto probabilmente l'ultima cosa che vuoi fare, tuttavia, è tagliare i peli in piccoli e piccoli frammenti con il tuo QSA. Quindi l'opinione generalmente tenuta è:

Le informazioni fornite in precedenza non sono in alcun modo intese come consigli ufficiali e vengono fornite senza mandato, garanzia, buona fede o un'adeguata assunzione di caffè mattutino. Le dichiarazioni fornite non rappresentano le opinioni del consiglio PCI, di alcun QSA / ASV, del mio datore di lavoro, del vostro datore di lavoro, di questo sito, di qualsiasi altro sito, né dell'ISP su cui state visualizzando questo messaggio.

    
risposta data 19.12.2012 - 14:27
fonte
6

Poiché PCI non si applica a un'applicazione specifica, piuttosto a un ambiente intero , si potrebbe dire che considera tutte le applicazioni come parti dello stesso sistema.

Vale a dire - il livello del server delle applicazioni è una "funzione primaria singola", per tutte le parti del sistema (ad esempio le applicazioni), indipendentemente da quante ci sono - presupponendo che siano tutte parte del sistema applicabile e tutte allo stesso livello di fiducia.

Quindi, se hai alcune applicazioni interne, o per es. il tuo sito web pubblico, che non ha nulla a che fare con le carte di credito, dovresti trasferirle in un altro ambiente (es. server, rete, ecc.) Altrimenti, nel migliore dei casi, sarebbero in grado di soddisfare i requisiti PCI - e tu non vuoi quello. Nel peggiore dei casi, si fallirebbe questo requisito.

Detto questo, NOTA che devi comunque consultare il tuo QSA . Avresti bisogno che lui / lei ci firmasse e c'è ancora spazio per l'interpretazione in base al tuo contesto specifico.

    
risposta data 19.12.2012 - 09:47
fonte
2

Is "application server" 'one primary function' or does it need to be "program x server", "program y server" etc?

Questo dipende dall'interpretazione in base a come i programmi correlati e simili X e Y sono. Questo tipo di domanda tende verso un'area grigia in cui i QSA sono diversi e tu stai cercando un controllo compensativo.

Ma guarda l' intento della regola - vuole che tu mantenga separati i diversi "livelli di sicurezza".

Quindi, se hai un sacco di applicazioni che parlano tutte allo stesso servizio web o database (su un altro server con i suoi stessi controlli) usando le stesse credenziali, potrebbe avere senso considerarle una funzione. Se un utente malintenzionato ha compromesso il programma X e questo ha permesso loro di compromettere il programma Y che si trovava sullo stesso server, non gli viene dato nulla che non avevano già compromettendo il programma X?

These applications also have varying groups roles, and permissions assigned within them and serve different departments.

Questo fa sembrare che tu abbia effettivamente funzioni diverse e diversi livelli di sicurezza sul server.

Some of these interact indirectly with the application that the cardholder data resides in, others not.

Qual è la natura dell'interazione indiretta? Se l'interazione passa attraverso un gateway (qualcosa che agisce come un punto di controllo efficace) che non si trova nel CDE, è possibile mantenere completamente il server fuori dall'ambito PCI.

Se non puoi evitare di avere il server in ambito, ti consiglio vivamente di spostare le applicazioni su di esso che non hanno bisogno di interagire con CDE su un altro server che non sarà in ambito.

    
risposta data 19.12.2012 - 11:25
fonte

Leggi altre domande sui tag

Quanti bit di entropia dovrei mirare alla mia password? [chiuso] Come posso decrittografare i dati con Java, senza hard-coding della chiave?