SAQ A-EP Requisiti per l'hosting VPS

5

Ospitiamo un sito su un Digital VPS ("Droplet") autogestito che eseguirà i pagamenti tramite Stripe utilizzando la loro API stripe.js. Secondo PCI , abbiamo determinato che rientri nel SAQ A-EP.

Tuttavia, SAQ A-EP (parte 2g) afferma che:

If merchant website is hosted by a third-party provider, the provider is validated to all applicable PCI DSS requirements (e.g., including PCI DSS Appendix A if the provider is a shared hosting provider)

Ciò di cui ho difficoltà a capire è il seguente:

  1. Dato che siamo su un VPS fornito da Digital Ocean, stiamo considerando di utilizzare "hosting condiviso" da un fornitore di terze parti? Oppure siamo considerati auto-ospitati, dato che il VPS è autogestito e Digital Ocean non ha accesso alla shell alla nostra scatola?
  2. L'Appendice A deve essere soddisfatta? Se sì, da chi?
  3. Se siamo considerati self-hosted, soddisfiamo il seguente requisito (anche nella parte 2g), dal momento che il nostro VPS ha il suo indirizzo IP e siamo gli unici con accesso al VPS?

    Merchant’s e-commerce website is not connected to any other systems within merchant’s environment (this can be achieved via network segmentation to isolate the website from all other systems)

  4.   
posta John Mahoney 05.08.2014 - 18:35
fonte

2 risposte

6

In primo luogo, lasciatemi dire che sono d'accordo con la tua valutazione che il SAQ A-EP è quello che dovresti usare (supponendo che il tuo volume ti qualifichi per il Livello 3 o 4, meno di 1 milione di transazioni annuali). Questo è un enorme cambiamento per il PCI e immagino che causerà serie incertezze nello spazio dei pagamenti.

La mia comprensione della frase "hosting condiviso" in termini di PCI non si applica a Digital Ocean oa qualsiasi provider VPS. Tuttavia, sono ancora un fornitore di servizi di hosting e come tali hanno accesso ai dati del titolare della carta. Nella loro pagina di sicurezza dicono che i dipendenti del team di progettazione hanno accesso ai server host di back-end. È quindi assolutamente possibile per loro accedere al Droplet se lo desiderano.

Il modo in cui puoi pensare a questo è che, se assumessero una persona malintenzionata, quella persona potrebbe accedere e modificare i dati sul tuo Droplet. Se potessero modificare qualcosa sul Droplet, potrebbero aggiungere JavaScript alla pagina per sottrarre i dati dei titolari di carta prima che vengano inviati a Stripe. Ora, penso che tutti dovremmo aspettarci che Digital Ocean abbia i controlli in atto per monitorare / controllare questo tipo di cose ed è qui che entra in gioco il PCI. Dovrebbero sottoporsi a una valutazione del Service Provider PCI di livello 1 per convalidare i loro controlli. Sembra che questo sia emerso prima e hanno detto che non stavano perseguendo alcun una sorta di conformità PCI al momento.

    
risposta data 05.08.2014 - 20:23
fonte
2

Secondo me, date le informazioni che hai fornito, SAQ A-EP si adatta al tuo scenario.

Non sei auto-ospitato e Digital Ocean è il tuo fornitore di terze parti . L'hosting è più del software che si ospita ma anche della sicurezza fisica dell'hardware. Digital Ocean probabilmente avrà accesso ai tuoi dati memorizzati sul server e potrebbe alterare i file sul box che causano la modifica delle pagine di pagamento senza accesso SSH. Indipendentemente dal fatto che si tratti di una classe di hosting condiviso, Digital Ocean deve ancora essere convalidata per gli elementi rilevanti di PCI DSS (vedi sotto).

Non so se verrebbero classificati come Shared Hosting e conterei sul consiglio di un QSA su questo. Se non è Shared Hosting, ottieni una chiara giustificazione del perché.

Riguardo alla segmentazione , la maggior parte delle aziende avrà parti del proprio sistema nell'ambito e al di fuori del campo di applicazione. Le parti in ambito devono essere segmentate e controllate dalle parti fuori ambito. Potresti desiderare di rendere l'intero sito Web di pertinenza, o potresti voler suddividerlo in parti separate. Anche le parti esterne possono entrare / uscire dal campo di applicazione. per esempio. Digital Ocean sarà nel campo di applicazione, ma Internet sarà fuori portata. Proteggi il tuo ambiente in ambito usando firewall e altri mezzi, quindi è consentito solo il traffico destinato al e dal tuo ambiente.

Il SAQ A-EP richiede diverse cose nella sezione "Prima di iniziare" che saranno tutte cose che dovresti controllare. Una coppia che voglio chiamare, che suona veramente rilevante per le domande che stai ponendo:

  1. Il tuo provider di hosting deve essere convalidato su tutti i requisiti PCI DSS applicabili

    If merchant website is hosted by a third-party provider, the provider is validated to all applicable PCI DSS requirements

    Digital Ocean ha essenzialmente bisogno di essere conforme PCI, o almeno ad alcuni requisiti, affinché tu possa essere conforme PCI. L'ultimo I ha verificato che non sono . AWS ha mantenuto la conformità PCI per un po 'di tempo, e sono un buon valore predefinito per la virtualizzazione e PCI.

  2. Non utilizzare JS, CSS, ecc. esterni sulle tue pagine usando StripeJS

    All elements of payment pages that are delivered to the consumer’s browser originate from either the merchant’s website or a PCI DSS compliant service provider(s);

  3. È tua responsabilità assicurarti che i tuoi fornitori di servizi siano conformi PCI

    Your company has confirmed that all third party(s) handling storage, processing, and/or transmission of cardholder data are PCI DSS compliant

Quanto sopra è la mia opinione e non un consiglio, non dovresti fare affidamento su di esso, e invece consultare un QSA PCI registrato per un consiglio. Le virgolette blocco provengono da PCI DSS SAQ A-EP v3 . Leggi sempre l'intero SAQ e PCI DSS.

    
risposta data 10.08.2014 - 23:48
fonte

Leggi altre domande sui tag