PCI DSS: solo una funzione primaria per server

Question

PCI DSS: solo una funzione primaria per server

#1 da (6 voti)
#2 da (3 voti)
#3 da (2 voti)

4

Il PCI DSS dice che un server può avere solo una funzione primaria e io sono un po 'confuso su cosa significhi con' una funzione primaria '

abbiamo un server web con database - pagine web ed e-mail

questa è una violazione delle regole? perché quasi tutti i server Web sono dotati di un database, un server web e una e-mail. Siamo solo un piccolo commerciante con un negozio web molto piccolo, non riesco a immaginare che tutti stiano dividendo tutti questi server in 3 server? questo sarebbe molto costoso?

2.2.1 Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)

For example:

A database, which needs to have strong security measures in place, would be at risk sharing a server with a web application, which needs to be open and directly face the Internet. Failure to apply a patch to a seemingly minor function could result in a compromise that impacts other, more important functions (such as a database) on the same server.

This requirement is meant for all servers within the cardholder data environment (usually Unix, Linux, or Windows based). This requirement may not apply to systems which have the ability to natively implement security levels on a single server (e.g. mainframe).

Ho dato un'occhiata a PCI-DSS - un'applicazione per server? ma sono ancora confuso

webserver pci-dss pci-scope

posta user1398287 04.02.2014 - 23:02

fonte

3 risposte

Leggi altre domande sui tag webserver pci-dss pci-scope

Elenco di certificazione definitiva [chiuso] Spiegazione della sicurezza rispetto alle prestazioni a un superiore non tecnico

score 6 · Answer 1

Sì, dovrebbero essere server separati.

Tuttavia, non è necessario che siano server fisici separati; possono essere tre server virtuali su un server fisico.

C'è spazio per il dibattito nello standard. Separare web e database è praticamente non negoziabile. Ma se l'e-mail è una funzione minore - ad esempio, il server web la usa solo per inviare la notifica e-mail dispari - allora potresti essere in grado di giustificare la combinazione di ciò con il server web. Se tu fossi grande, il tuo QSA ti guiderebbe su questo, ma date le tue dimensioni mi aspetto che tu sia in autovalutazione.

score 3 · Answer 2

Sì, questo è male.

Un'applicazione principale per server significherebbe che, date le funzioni che hai elencato, avresti tre server. Un server web, un server di posta, un server di database. Infatti, dato che ci si trova in un ambiente PCI e supponendo che si stiano memorizzando dati PCI nel database, il database non può trovarsi su un sistema in grado di comunicare direttamente con Internet. Ovviamente, a parte il requisito della funzione singola, ciò impedisce di inserire il database su un server Web o di posta.

Un server web può certamente avere syslog, ssh e altri servizi in esecuzione ... Questi servizi esistono perché il servizio primario, il servizio Web, li richiede, oltre ai requisiti di registrazione e gestione per l'organizzazione.

Un ottimo modo per capire se si soddisfa questo requisito è porsi questa domanda: "Se ho rimosso questo servizio da qui e l'ho installato su un altro sistema nell'ambiente, questo sistema potrebbe comunque raggiungere i suoi obiettivi?" Se la risposta è sì, allora quel servizio dovrebbe essere spostato fuori dal server.

Spero che questo aiuti!

score 2 · Answer 3

Per lo scenario che hai descritto nella tua domanda e nei tuoi commenti, completeresti l'autovalutazione% di PCI-DSS v3 SAQ A-EP . Sembra un po 'ingiusto se non si pensa male che un modulo di 46 pagine è richiesto anche quando, come nel tuo caso, l'intero ambiente di dati dei titolari di carta è esternalizzato e tutto ciò che fai è reindirizzare i clienti al sito web della società di accettazione dei pagamenti per effettuare il pagamento e ricevere alcuni sorta di conferma o messaggio di errore tramite un'API dal loro sito web al tuo. Comunque è quello che è.

Senza verificare con una QSA non potrei confermare se sarebbe accettabile, ma per me la maggior parte delle domande non rientrerebbe nell'ambito di applicazione a causa del loro riferimento all'ambiente dei dati dei titolari di carta e protezione dei dati dei titolari di carta e così intere sezioni della SAQ potrebbero essere risposto con N / A.

Per il requisito 2 (non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza): questo include l'ambiente di hosting e quindi è necessario chiedere assistenza al provider di hosting in fase di completamento questa sezione, ma includerebbe anche qualsiasi software applicativo che hai installato nello spazio su disco designato, come software di e-Commerce come PrestaShop, Magento ecc. e qualsiasi altra applicazione installata come WordPress ecc.

Personalmente probabilmente sceglierei N / A per 2.2.1 dove si chiede una funzione primaria per server dovuta all'ambiente di hosting che non rientra nell'ambito di applicazione dei dati dei titolari di carta ed essendo completamente separato da i sistemi del fornitore di accettazione dei pagamenti in outsourcing. Questo potrebbe essere un punto controverso e potrebbe essere necessario consultare il tuo QSA su questo punto.

Sarei certamente interessato al feedback della tua QSA se dovessi postarlo qui dopo averlo chiesto.

Modifica il 01-feb-2015:

Giusto per chiarire ulteriormente, avendo ora verificato con PCI-DSS SSC tutto si riduce a se il tuo sito web ospita alcuna pagina di pagamento. Se il tuo sito web ha letteralmente un sistema di carrello e il pulsante checkout, l'utente viene reindirizzato a un fornitore di accettazione di pagamenti di terze parti dove procede per inserire i dettagli della carta, oppure lo stesso si ottiene inserendo questo in un <iframe> , quindi puoi utilizzare %codice%. Se ti stai incorporando in SAQ A o acquisisci i dati dei titolari di carta direttamente sul tuo sito web utilizzando elementi del modulo HTML o qualsiasi elemento di template per migliorare l'aspetto del sito web, a causa del maggiore rischio per la sicurezza un <div> sarà essere richiesto. C'è anche un articolo utile per approfondire le ragioni di ciò su FAQ sugli standard di sicurezza PCI .