Non è possibile utilizzare l'autenticazione basata su certificato per "nascondere" una macchina nello stesso modo in cui una VPN nasconde una macchina - che è ciò che lo standard PCI intende nella sezione 1.3 nella v2.0 degli standard PCI-DSS .
1.3. Prohibit direct public access between the Internet and any
system component in the cardholder data environment.
Ciascuno dei componenti di 1.3 si riferisce ad evitare il contatto diretto con il componente di sistema. Contatto diretto significa che la vostra macchina ha un IP accessibile pubblicamente e può essere comunicata direttamente. Un sistema di autenticazione basato su certificati non preclude la sezione 1.3 perché non offre alcuna protezione contro vulnerabilità OS / livello di stack di rete (o simili) che potrebbero essere utilizzate per penetrare ed evitare il sistema di autenticazione.
I sotto requisiti continuano a descrivere i metodi specifici che devono essere messi in atto per impedire l'accesso pubblico - protezioni a livello di rete che intervengono come firewall, VPN, ecc.
Se non lo hai già letto, leggi " Comprensione dello scopo dei requisiti " come interpretazione guida. L'interpretazione della sezione 1.3 in pratica dice esattamente ciò che ho detto sopra:
A firewall's intent is to manage and control all connections between public systems
and internal systems (especially those that store, process or transmit cardholder
data). If direct access is allowed between public systems and the CDE, the
protections offered by the firewall are bypassed, and system components storing
cardholder data may be exposed to compromise.
In definitiva, questo significa che finché il tuo sistema manuale è protetto da un firewall di sicurezza o da un'altra soluzione di mascheramento (ad esempio VPN) che soddisfa anche i requisiti della (1) sezione 1, allora dovresti essere bene. Non avresti nemmeno bisogno di usare soluzioni basate su certificati purché tutte le altre identificazioni & i pezzi di autenticazione sono implementati in modo sicuro secondo lo standard PCI.