Database condiviso e conformità PCI

Naviga le tue risposte
1

Diciamo che abbiamo un'applicazione web basata su cloud che è SaaS. Questa applicazione deve essere resa conforme PCI come fornitore di servizi, poiché i dati della carta client passano attraverso l'applicazione. Questa applicazione utilizza un database per le sue informazioni di configurazione.

Si noti che il database solo contiene informazioni di configurazione. Nessun titolare di carta o dati personali sono memorizzati qui. Tuttavia, disponiamo anche di un portale di gestione a cui accedono i clienti. I client possono accedere al portale di gestione e modificare la configurazione salvata nel database condiviso.

Quindi abbiamo:

Application --> Shared DB <-- Management Portal <-- Client access

È possibile che Shared DB e Management Portal siano fuori ambito se su una rete separata, rendendo il CDE solo Application ?

Dallo standard PCI v3:

At a high level, adequate network segmentation isolates systems that store, process, or transmit cardholder data from those that do not.

Quanto sopra sembra rispettare questa raccomandazione?

    
posta SilverlightFox 24.10.2014 - 18:53
fonte

2 risposte

2

Il collegamento di comunicazione tra l'applicazione e il DB è il problema. Se l'applicazione è ciò che consideri il tuo CDE, il database sarà incluso nell'ambito perché è connesso all'applicazione. A seconda dei controlli di accesso e di altri controlli di sicurezza per la segmentazione, è possibile rimuovere il portale di gestione dall'ambito (supponendo che si trovi su un segmento di rete diverso da tale applicazione, anche in base al QSA e a cosa accetteranno.

Ci sono 3 cose da considerare quando si valuta la segmentazione per PCI:

  1. Indipendentemente dal fatto che un sistema memorizzi, elabori o trasmetta i dati del titolare della carta
  2. Indipendentemente dal fatto che un sistema abbia accesso a un sistema che memorizza, elabora o trasmette i dati dei titolari di carta
  3. Indipendentemente dal fatto che un sistema possa influire sulla sicurezza del CDE

Un sistema può essere escluso dall'ambito di una valutazione PCI confermando che i 3 criteri sopra riportati sono falsi.

    
risposta data 25.10.2014 - 02:21
fonte
0

IANAQSA

No, non credo che tu possa raggiungere la separazione che stai cercando. La citazione PCI v3 che hai fornito descrive l'utilizzo di segmentazione di rete adeguata per isolare i sistemi. Quello che stai veramente chiedendo, però, è possibile isolare il DB condiviso (dettagli della carta) dal DB condiviso (configurazione)? E la risposta è no, non puoi, perché sono ... ah ... condivisi. Non esiste un livello di isolamento significativo tra un database e se stesso. Anche se parli di istanze separate sullo stesso DBMS, prevedo che la maggior parte dei QSA li considererebbe inseparabili.

Probabilmente è possibile mantenere l'accesso client fuori dall'ambito, ma anche con la segmentazione di rete tra il portale di gestione e il DB condiviso, sarà difficile mantenere il portale di gestione fuori dall'ambito perché il DB condiviso (configurazione) è contaminato dal DB condiviso ( dettagli della carta).

    
risposta data 24.10.2014 - 19:00
fonte

Leggi altre domande sui tag

Strano traffico TCP su Mac OS X da 'rdmd' Protezione sicura tra reindirizzamento dal dominio A al dominio B