Requisito PCI DSS 6.4.2 separazione delle funzioni tra ambienti di sviluppo / test

Naturalmente, è sempre più saggio accettare i giudizi della QSA quando si effettuano le chiamate di giudizio, tuttavia durante il proprio lavoro di conformità interno raccomando di consultare i Navigazione nel documento PCI-DSS: Capire il Intento dei Requisiti ogni volta che viene confuso da un requisito.

Se guardiamo a pagina 32 di quel documento, vediamo quanto segue in merito al requisito 6.4.2

Reducing the number of personnel with access to the production environment and cardholder data minimizes risk and helps ensure that access is limited to those individuals with a business need to know.

The intent of this requirement is to ensure that development/test functions are separated from production functions. For example, a developer may use an administrator-level account with elevated privileges for use in the development environment, and have a separate account with user-level access to the production environment.

In environments where one individual performs multiple roles (for example application development and implementing updates to production systems), duties should be assigned such that no one individual has end-to-end control of a process without an independent checkpoint. For example, assign responsibility for development, authorization and monitoring to separate individuals.

Quindi, dalla lettura più severa, allora sì. Gli sviluppatori hanno accesso al sistema di sviluppo e possono avere accesso al ruolo degli utenti alla produzione, ma una persona separata eseguirà effettivamente le installazioni delle applicazioni / amministrazione e amministrazione del sistema dell'ambiente di produzione. Il vero scopo di tutto ciò, come discusso nell'ultimo paragrafo, è che non esiste un singolo individuo che abbia un controllo amministrativo end-to-end del servizio. Ciò che vogliono sono le persone multiple con visibilità nel processo in modo che nessuna singola persona possa apportare modifiche nello sviluppo e portarle alla produzione indiscussa.

Quindi, quando possibile, il consiglio ufficiale sarebbe meglio riassumerlo con una foto.

In pratica, tuttavia, è necessario capire quale sia il modo migliore per gestire tale auditing e / o segregazione mentre si documentano i tuoi processi e alla fine ottenerli correttamente gestiti dal tuo QSA.

PCI-DSS è un insieme di regole eccezionalmente ampio (e interpretativo) - quindi questa risposta è probabilmente la risposta migliore da un QSA (per qualsiasi cosa che non sia opinione / eresia).

Tuttavia, la nostra interpretazione è tale che gli ambienti devono essere separati, ma non necessariamente su hardware fisicamente separato. L'utilizzo di VPS / virtualizzazione è un ottimo modo per partizionare in modo sicuro un server fisico e mantenere comunque la conformità PCI senza cadere nella regola "una macchina per ogni ruolo".

Ecco il problema con questo particolare oggetto. Se valutato solo sulla formulazione, sembra chiaro che per ambienti diversi siano richieste persone diverse. Tuttavia, una grande quantità di aziende e QSA ritengono addirittura che questa sia una strada a senso unico. Se hai accesso allo sviluppo e allo sviluppo, non dovresti avere accesso alla produzione.

Il problema con questo è che le persone con accesso alla produzione non dovrebbero avere accesso allo sviluppo. Con l'accesso agli ambienti di sviluppo sarebbero in grado di decodificare le misure di sicurezza che sono in atto per proteggere i dati nell'ambiente. Quindi, guardando il modello di codice e dati, devi separare i due a tutti i livelli. Coloro che hanno accesso al codice, non dovrebbero avere accesso ai dati, e coloro che hanno accesso ai dati non dovrebbero avere accesso al codice. Gli ambienti di sviluppo devono essere separati dalle altre operazioni aziendali. I DBA di produzione non dovrebbero avere accesso o controllo sui DB di sviluppo.