Chiarimento sulla conformità PCI

Naviga le tue risposte
5

Quindi diciamo che abbiamo un sito di produzione che richiede l'accesso VPN al datacenter. Disponiamo inoltre di un datacenter dev / qa in un datacenter separato con la propria connessione VPN. Quando siamo seduti in ufficio abbiamo un tunnel IPSEC verso il centro dati dev / qa, ma dobbiamo collegarci tramite VPN alla produzione. Quindi, se siamo in ufficio la vita è buona, posso connettermi a una macchina di sviluppo o a una macchina prod, MA non posso saltare da prod a dev e viceversa.

Tutto andava bene, ma recentemente i ragazzi della rete si sono sbarazzati della rotta che ci ha permesso di usare una VPN per connetterci a prod e dev (non è possibile saltare tra i data center). Ci è stato detto che sarebbe stata una violazione PCI, sto solo cercando di chiarire se questo è vero o no. Quando lavoriamo da casa, è una tale seccatura dover connettersi e disconnettersi tra le due VPN.

Altre informazioni (chiarimento):

  • Quando su una macchina di sviluppo, NON dovrei essere in grado di connettermi a una macchina prod e, viceversa.
  • Quando sono seduto in ufficio, posso connettermi liberamente a una macchina di sviluppo dal mio portatile ma per collegarmi a una macchina prod (dal mio portatile), devo collegarmi tramite VPN. NON POSSO passare tra i centri dati dall'host all'host.
  • A un certo punto, quando lavoriamo da casa, potremmo connetterci alla VPN prod e collegarci ai data center prod e dev, ma non possiamo saltare tra i data center tramite un host locale nel DC.
posta luckytaxi 17.02.2015 - 20:29
fonte

2 risposte

3

Oltre alla risposta di Baordog, si noti che PCI comprende tutte le reti in cui si memorizzano i dati delle carte di credito. Non sembra improbabile che considerino tale collegamento una violazione in termini di separazione del proprio ambiente PCI con un ambiente non pci.

PCI DSS applies to all systems components … connected to the cardholder data environment (CDE). The CDE includes people, processes or technology that store, process or transmit cardholder data. Network segmentation, or isolating (segmenting) the CDE from the rest of the network … is strongly recommended. Without adequate network segmentation the entire network is in scope of the PCI DSS assessment. … adequate network segmentation isolates systems that store, process, or transmit cardholder data from those that do not. Documenting cardholder data flows via a dataflow diagram helps fully understand all cardholder data flows and ensures that any network segmentation is effective at isolating the cardholder data environment.”

Potrebbe essere che il vostro revisore PCI abbia fatto un commento sul fatto che questa separazione non è sufficiente, il che rischia di prendere in considerazione gli ambienti QA e Dev per la vostra rete PCI. E che quindi gli amministratori di rete hanno deciso di disabilitare quella regola.

    
risposta data 17.02.2015 - 21:02
fonte
1

PCI Requisito DSS 6.4.2 separazione dei compiti tra ambienti di sviluppo / test

In realtà un precedente post su questo sito suggerisce la risposta qui. Non sono un esperto PCI, ma direi che si è un problema. Il concetto di separazione delle mansioni implica che gli sviluppatori non dovrebbero avere accesso ai server di produzione, quindi iscriversi sia tramite un singolo login vpn sembrerebbe violarlo.

Poiché le questioni relative al PCI sono molto serie, dovresti chiedere di persona a un esperto PCI prima di prendere una decisione.

    
risposta data 17.02.2015 - 21:00
fonte

Leggi altre domande sui tag

Vulnerabilità OpenSSL CVE-2015-0205 Conformità HIPAA nei forum web?