Provider di servizi PCI e separazione

4

Questa è la connessione alla mia domanda precedente: Database condiviso e conformità PCI

Tuttavia, questa domanda si riferisce al requisito "Appendice A: Requisiti PCI DSS aggiuntivi per provider di hosting condiviso".

Se siamo un fornitore di servizi, esiste qualche requisito (o raccomandazione) per:

  • Mantieni separato il database condiviso per client? , ovvero un'istanza separata del servizio DB in esecuzione su una porta diversa.
  • Avere processi separati sul nostro servizio in cui decifriamo i dati che potrebbero contenere CHD? ad es. per il nostro primo client usiamo la porta 443, per il nostro secondo client usiamo la porta 444, ecc.

Non memorizziamo o elaboriamo i dati delle carte, li decifriamo solo, li analizziamo e quindi li ri-cifriamo per la trasmissione. Il database condiviso contiene informazioni di configurazione per determinati parametri per il nostro servizio, ma non è possibile per un client configurarlo in modo tale da influenzare altri client.

Inoltre, i processi per il nostro servizio non eseguono il codice client. È la nostra applicazione. Lo dico come afferma A.1.1:

A.1.1 Ensure that each entity only runs processes that have access to that entity’s cardholder data environment.

Sebbene la guida affermi:

If a merchant or service provider is allowed to run their own applications on the shared server, these should run with the user ID of the merchant or service provider, rather than as a privileged user

Poiché le nostre applicazioni eseguono solo il nostro codice (non alcun codice dei nostri clienti), in che modo ciò influisce sull'interpretazione di A.1.1? La definizione nella procedura di test è:

If a shared hosting provider allows entities (for example, merchants or service providers) to run their own applications, verify these application processes run using the unique ID of the entity.

e la mia interpretazione era che il codice in esecuzione non era la "propria applicazione" del commerciante, tuttavia il nostro QSA ritiene che questo requisito sia applicabile.

La mia domanda comprende le due domande strettamente correlate sopra (in grassetto) relative alla quantità di separazione richiesta.

    
posta SilverlightFox 12.11.2014 - 10:53
fonte

2 risposte

1

Sono d'accordo con AndyMac che in realtà non sei un fornitore di hosting condiviso, stai solo offrendo una piattaforma, quindi penso che la tua QSA sia sbagliata. Quindi cosa fai se non sei sicuro della sua opinione? Poi ottieni una seconda opinione in cui spieghi le tue preoccupazioni! Assicurati di sfidare prima il tuo QSA per spiegare perché crede di essere un provider di hosting condiviso, anche se non stai eseguendo il codice dei tuoi clienti ma il tuo.

Ma ricorda che PCI-DSS riguarda l'implementazione di una linea di base di sicurezza. Ora puoi renderlo davvero complesso e iniziare a costruire segragazioni di rete complesse e implementare processi separati, ecc ... Nel mio caso, ciò che dovresti fare è usare un sistema in cui template un sistema operativo con la tua applicazione + un database separato e basta implementarne uno per cliente in una zona di fiducia isolata. Quindi è possibile inoltrare da un IP dedicato su base per porta o, se lo si esegue tramite una VPN, fornire solo la connettività 1-a-1 per un determinato indirizzo IP in base alle credenziali di accesso.

    
risposta data 05.12.2014 - 08:36
fonte
1

Analizziamolo in una visione logica di ciò che dichiari di fare senza perdersi tra le erbacce sulla definizione di un fornitore di servizi, provider di hosting, Tier 1, Tier 2, ecc. Si specifica:

"We do not store or process card data, we only decrypt it, analyse it and then re encrypt it for transmission."

Anche se potresti non essere un PROCESSOR stai inserendo i dati attraverso un processo (decrittografia, quindi analisi, quindi crittografia). Come funziona questo processo. Ad esempio, come ti arrivano i dati, quindi potresti eseguire ciò che devi fare?

Ciò che PCI sta cercando principalmente è la prova che quando i dati vengono elaborati (vanno da un posto all'altro, indipendentemente dal fatto che siano archiviati o meno), lo fanno in modo sicuro. Quando si menziona "lo decifriamo solo, analizziamo" una funzione (processo) sta accadendo da qualche parte su un sistema. Come si verifica, i dati vengono archiviati da qualche parte? La realtà è che dovrebbe farlo. Che sia in memoria, in un file temporaneo, ad un certo punto è necessario l'output decrittografato (dati CC) per analizzarlo. Anche se per una frazione di secondo, devi documentare cosa succede, come si verifica e come questo viene segmentato da eventuali divulgazioni.

    
risposta data 05.12.2014 - 20:11
fonte

Leggi altre domande sui tag