PCI: divieto di connessioni dirette all'ambiente dei dati dei titolari di carte

2

In PCI 1.3.3 afferma:

Are direct connections prohibited for inbound or outbound traffic between the Internet and the cardholder data environment?

Un Card Data Data Environment (CDE) comprende qualsiasi dispositivo o server che memorizza o trasferisce i dati dei titolari di carta. (Glossario PCI disponibile qui )

Con il nostro sistema, un utente aggiunge una carta di credito via web, rendendo ciascuno dei nostri server frontali una parte del CDE. Dal mio punto di vista questo è un paradosso perché qualsiasi server a cui l'utente ha una connessione diretta sarà sempre considerato parte del CDE.

Qualche indizio su come dovrei avvicinarmi a questo?

    
posta Martin Konecny 29.10.2014 - 04:45
fonte

1 risposta

5

La colonna Guida di PCI DSS 1.3.3 (v3):

Examination of all inbound and outbound connections allows for inspection and restriction of traffic based on the source and/or destination address, as well as inspection and blocking of unwanted content, thus preventing unfiltered access between untrusted and trusted environments. This helps prevent, for example, malicious individuals from sending data they've obtained from within your network out to an external untrusted server in an untrusted network.

Ciò significa che i controlli firewall e i controlli del contenuto (IDS / IPS, WAF, proxy DLP) devono essere utilizzati per limitare l'ingresso / uscita del CDE. Permettere il traffico in a porte limitate, necessarie è okay. Permettere un ampio traffico verso le porte non necessarie non va bene. Permettere il traffico in uscita non regolamentato che potrebbe consentire a un utente malintenzionato di estrarre i dati non è corretto.

Si riduce in realtà a "impedire l'accesso non filtrato tra ambienti non affidabili e attendibili". Ti garantisco che la dicitura non è direttamente utile.

(Non esiste una colonna di guida in PCI DSS v2 , ma il requisito stesso è lo stesso, e l'intero punto di aggiunta di una colonna di guida con v3 era di fornire, um, una guida per chiarire l'intento dei requisiti, quindi è valido qualunque sia la versione con cui si sta lavorando.)

    
risposta data 29.10.2014 - 05:03
fonte

Leggi altre domande sui tag