PCI - cosa si qualifica come accesso pubblico?

5

Il mio staff di sviluppo è in procinto di automatizzare il nostro processo di fine mese. C'è un piccolo passaggio manuale che deve essere eseguito.

Abbiamo riflettuto sulle ramificazioni del PCI per renderlo accessibile attraverso la rete. Osservando gli standard PCI, in particolare 1.1 bloccare l'accesso pubblico all'ambiente dei titolari di carta dall'internet pubblico.

Ho letto che questo non sarebbe considerato pubblicamente accessibile se ho i certificati client in atto. Questo lo metterebbe di più nel regno dell'accesso VPN e delle regole associate.

Questo suono è corretto? Ci sono trucchi aggiuntivi che dovrei cercare?

EDIT:

Perfetto. Grazie molto. Ho un firewall / HIP / NDS / ecc tutti sul posto. Il modo in cui penso che l'autenticazione del certificato (in concomitanza con la normale autenticazione della password) verrebbe utilizzata al posto di un tunnel VPN completo. L'autenticazione del certificato si verificherebbe sul firewall, prima che qualcosa di pericoloso possa entrare nella rete interna.

    
posta Tim Brigham 17.02.2012 - 20:03
fonte

1 risposta

9

Non è possibile utilizzare l'autenticazione basata su certificato per "nascondere" una macchina nello stesso modo in cui una VPN nasconde una macchina - che è ciò che lo standard PCI intende nella sezione 1.3 nella v2.0 degli standard PCI-DSS .

1.3. Prohibit direct public access between the Internet and any system component in the cardholder data environment.

Ciascuno dei componenti di 1.3 si riferisce ad evitare il contatto diretto con il componente di sistema. Contatto diretto significa che la vostra macchina ha un IP accessibile pubblicamente e può essere comunicata direttamente. Un sistema di autenticazione basato su certificati non preclude la sezione 1.3 perché non offre alcuna protezione contro vulnerabilità OS / livello di stack di rete (o simili) che potrebbero essere utilizzate per penetrare ed evitare il sistema di autenticazione.

I sotto requisiti continuano a descrivere i metodi specifici che devono essere messi in atto per impedire l'accesso pubblico - protezioni a livello di rete che intervengono come firewall, VPN, ecc.

Se non lo hai già letto, leggi " Comprensione dello scopo dei requisiti " come interpretazione guida. L'interpretazione della sezione 1.3 in pratica dice esattamente ciò che ho detto sopra:

A firewall's intent is to manage and control all connections between public systems and internal systems (especially those that store, process or transmit cardholder data). If direct access is allowed between public systems and the CDE, the protections offered by the firewall are bypassed, and system components storing cardholder data may be exposed to compromise.

In definitiva, questo significa che finché il tuo sistema manuale è protetto da un firewall di sicurezza o da un'altra soluzione di mascheramento (ad esempio VPN) che soddisfa anche i requisiti della (1) sezione 1, allora dovresti essere bene. Non avresti nemmeno bisogno di usare soluzioni basate su certificati purché tutte le altre identificazioni & i pezzi di autenticazione sono implementati in modo sicuro secondo lo standard PCI.

    
risposta data 18.02.2012 - 19:04
fonte

Leggi altre domande sui tag