Store Per archiviare le comunicazioni tramite MPLS VPN

5

In un ambiente PCI con una configurazione di rete VPN MPLS dovresti consentire allo store di archiviare le comunicazioni?

Pensi che una rete MPLS sarebbe considerata abbastanza sicura per questo? perché o perché no?

    
posta Ambar Batista 04.06.2011 - 23:28
fonte

1 risposta

2

PCI-DSS parla dell'ambiente dei dati di credito. Se l'intero "negozio" fa tutto parte del CDE, in termini di conformità non fa un po 'di differenza, tutti i sistemi in tutti questi ambienti sono nel campo di applicazione di un auditor di QSA.

Detto questo, probabilmente non è una buona idea. Più percorsi gli attaccanti devono rimbalzare all'interno, più difficile è definire i canali sicuri.

Lasciatemi solo lanciare uno scenario realistico contraddittorio: Un badguy entra in un registro POS nel negozio A, è un luogo poco performante che gestisce un numero molto piccolo di transazioni. Qualcuno nello store ha collegato un dispositivo di terze parti alla rete al di fuori del tuo controllo e l'aggressore è riuscito a passare alla rete privata. Ha un volume basso e un impatto ridotto se l'hacker si sporge e scopre una debolezza in un modello di fiducia (come la chiave di crittografia chiave "nascosta" in una dll in bella vista ... sì, sto parlando con voi gente PA-DSS compatibile ...) ed è in grado di iniziare a raccogliere un numero minimo di carte di credito.

Scoprono che lo Store B è accessibile attraverso la WAN e applica le tecniche che sono state in grado di aprire un pò nello store a basso volume in modo molto più efficace la seconda volta nello store che sta processando 100 volte il numero di transazioni come prima.

Il negozio B ha un set di controlli molto migliore, ma sfruttando i sistemi meno manutenuti nel negozio A l'attaccante è in grado di scappare con tutte le informazioni di credito da entrambe le posizioni. Mentre Store A da solo potrebbe aver portato a un compromesso di una dozzina di record di clienti, Store B l'ha trasformato in un incidente nazionale di segnalazione con i turisti provenienti da oltre 30 stati che sono stati compromessi.

In altre parole, se sei arrivato così lontano e non sei semplicemente scappato soddisfatto della risposta di conformità, non lo farei a meno che non ci fosse un incredibile bisogno di business per questo. Anche se è "su MPLS", lo stai senza dubbio collegandolo al tuo capo, che a sua volta è connesso a Internet.

    
risposta data 05.06.2011 - 11:20
fonte

Leggi altre domande sui tag