Siamo un fornitore di servizi / hosting condiviso?
Il PCI SSC definisce cosa intendono per "provider di hosting condiviso" ai sensi del requisito PCI DSS 2.6. La sezione della guida afferma:
This [requirement] is intended for hosting providers that provide shared hosting environments for multiple clients on the same server. When all data is on the same server and under control of a single environment, often the settings on these shared servers are not manageable by individual clients. This allows clients to add insecure functions and scripts that impact the security of all other client environments; and thereby make it easy for a malicious individual to compromise one client's data and thereby gain access to all other clients' data. See Appendix A1 for details of requirements.
Dalla tua descrizione, probabilmente sei un provider di hosting condiviso ma non è chiaro se più client non correlati stiano accedendo e memorizzando dati su un set comune di server, ad es. 12 client che accedono o eseguono istanze separate della tua applicazione web su un singolo server web.
Questo è esattamente il modo in cui opera la mia azienda e siamo valutati per la conformità PCI come provider di hosting condiviso. Disponiamo di più server fisici che eseguono più server virtuali su ciascun server fisico. Mentre alcuni clienti pagano per l'accesso ftp, questo è sand-box e verrà sostituito da un nuovo meccanismo entro l'anno. I file caricati sono altamente limitati per tipo, scansionati da antivirus e altro. I database sono separati ma su istanze del server SQL condivise. In un componente, un DB che è considerato nostro e non i client 'ha dati client mescolati con altri dati client ma essenzialmente ogni record ha una chiave univoca, quindi solo quel componente sa come decodificare i dati del client per quel client.
Se ciò non era consentito, anche PayPal non poteva funzionare perché avrebbero bisogno di un server fisico separato per ogni cliente mercantile.
L'Appendice A1 di riferimento contiene 4 sotto-requisiti specifici, riassunti:
A1 - Proteggi l'ambiente e i dati ospitati da ciascuna entità, secondo A1.1 - A1.4
A1.1 - Assicurarsi che ogni entità esegua solo processi che hanno accesso all'ambiente dei dati di titolari di carta di quell'entità.
A1.2 Limita l'accesso e i privilegi di ciascuna entità esclusivamente al proprio ambiente di dati di titolari di carta.
A1.3 Garantire la registrazione e le tracce di controllo sono abilitate e uniche per l'ambiente dei dati dei titolari di carta di ciascuna entità e coerenti con il Requisito 10 PCI DSS.
A1.4 Abilitare i processi per fornire indagini forensi tempestive in caso di compromissione a qualsiasi commerciante o fornitore di servizi ospitato.
Quest'ultimo 2 può essere il più difficile, a seconda di come vengono eseguiti i tuoi dati di log e di registrazione.