La mia azienda fornisce applicazioni web a terze parti. Sviluppiamo, ospitiamo e gestiamo noi stessi le applicazioni. Tutti gli accessi che ottengono da terzi sono l'applicazione stessa e un'applicazione di gestione / configurazione separata che è anche un'applicazione web, quindi nessun accesso di sistema (shell / ftp / etc).
Siamo un fornitore di servizi / hosting condiviso?
Siamo un fornitore di servizi / hosting condiviso?
Il PCI SSC definisce cosa intendono per "provider di hosting condiviso" ai sensi del requisito PCI DSS 2.6. La sezione della guida afferma:
This [requirement] is intended for hosting providers that provide shared hosting environments for multiple clients on the same server. When all data is on the same server and under control of a single environment, often the settings on these shared servers are not manageable by individual clients. This allows clients to add insecure functions and scripts that impact the security of all other client environments; and thereby make it easy for a malicious individual to compromise one client's data and thereby gain access to all other clients' data. See Appendix A1 for details of requirements.
Dalla tua descrizione, probabilmente sei un provider di hosting condiviso ma non è chiaro se più client non correlati stiano accedendo e memorizzando dati su un set comune di server, ad es. 12 client che accedono o eseguono istanze separate della tua applicazione web su un singolo server web.
Questo è esattamente il modo in cui opera la mia azienda e siamo valutati per la conformità PCI come provider di hosting condiviso. Disponiamo di più server fisici che eseguono più server virtuali su ciascun server fisico. Mentre alcuni clienti pagano per l'accesso ftp, questo è sand-box e verrà sostituito da un nuovo meccanismo entro l'anno. I file caricati sono altamente limitati per tipo, scansionati da antivirus e altro. I database sono separati ma su istanze del server SQL condivise. In un componente, un DB che è considerato nostro e non i client 'ha dati client mescolati con altri dati client ma essenzialmente ogni record ha una chiave univoca, quindi solo quel componente sa come decodificare i dati del client per quel client.
Se ciò non era consentito, anche PayPal non poteva funzionare perché avrebbero bisogno di un server fisico separato per ogni cliente mercantile.
L'Appendice A1 di riferimento contiene 4 sotto-requisiti specifici, riassunti: A1 - Proteggi l'ambiente e i dati ospitati da ciascuna entità, secondo A1.1 - A1.4 A1.1 - Assicurarsi che ogni entità esegua solo processi che hanno accesso all'ambiente dei dati di titolari di carta di quell'entità. A1.2 Limita l'accesso e i privilegi di ciascuna entità esclusivamente al proprio ambiente di dati di titolari di carta. A1.3 Garantire la registrazione e le tracce di controllo sono abilitate e uniche per l'ambiente dei dati dei titolari di carta di ciascuna entità e coerenti con il Requisito 10 PCI DSS. A1.4 Abilitare i processi per fornire indagini forensi tempestive in caso di compromissione a qualsiasi commerciante o fornitore di servizi ospitato.
Quest'ultimo 2 può essere il più difficile, a seconda di come vengono eseguiti i tuoi dati di log e di registrazione.
Sembra che tu possa essere se tali applicazioni contengono dati della carta di credito o se possiedi dati della carta di credito, ma dovrai consultare Documento di panoramica SAQ , in particolare la sezione sui criteri di idoneità. Leggila per vedere quali sezioni si applicano a te.
La domanda è molto vaga sui dettagli, quindi non posso dare nulla di definitivo. Non sono un esperto di QSA o legale. Questo è puramente basato sulla mia esperienza PCI. Scoprirò sempre con cautela e garantirò che tutti i sistemi siano conformi PCI.
La risposta breve alla tua domanda è sì. Se li stai ospitando, sei un host o un fornitore di servizi.
Ora la parte condivisa può essere complicata. L'hosting condiviso significa in genere più client che condividono un server fisico (o virtuale). In questo caso è quasi impossibile essere conformi allo standard PCI poiché la conformità PCI richiede l'isolamento dei dati.
Ancora una volta la domanda è vaga sui dettagli. Se fornisci più background, posso fornire una risposta migliore
Non sei un provider di hosting condiviso.
Sei un fornitore di servizi (quindi, SAQ-D se trasmetti meno di 300.000 transazioni all'anno).
Sei anche un Cloud Provider / SaaS.
Leggi altre domande sui tag pci-dss shared-hosting