Implementazione del codice in PCI CDE

2

Lo standard PCI DSS v3 afferma quanto segue:

Network Segmentation

To be considered out of scope for PCI DSS, a system component must be properly isolated (segmented) from the CDE, such that even if the out-of-scope system component was compromised it could not impact the security of the CDE.

Diciamo che abbiamo un sistema basato sul cloud che vogliamo essere conformi PCI, e il codice sorgente per questo sistema è in un altro sistema basato su cloud come Bitbucket . Può un server Octopus Deploy collegato o all'interno del CDE connettersi al nostro repository di controllo del codice sorgente tramite HTTPS e quindi distribuirlo, oppure questo porterebbe Bitbucket in un ambito, in quanto un repository compromesso potrebbe influenzare la sicurezza del CDE? Quale sarebbe un modo conforme per farlo automaticamente?

    
posta SilverlightFox 24.10.2014 - 18:20
fonte

1 risposta

2

Non so se questo è conforme allo standard PCI, ma è possibile firmare il codice all'interno dell'ambiente conforme PCI prima di caricare il codice nel sistema di distribuzione cloud. Dato che il codice è firmato, dovrebbe essere immodificabile in senso PCI (per esempio se il repository è compromesso, CDE non accetta dati da esso), quindi dovresti essere in grado di dimostrare che il sistema cloud NON PU comprom compromettere il CDE.

Potresti chiedere al tuo valutatore PCI se una configurazione con codice firmato firmato all'interno del sistema compatibile con PCI andrebbe bene.

    
risposta data 24.10.2014 - 18:27
fonte

Leggi altre domande sui tag