PCI DSS per i server Web che non memorizzano le informazioni della carta di credito

Naviga le tue risposte
1

Ho intenzione di implementare il nostro nuovo sito web aziendale su un server dedicato tramite un provider di hosting. Gestirò personalmente il server con l'eccezione di gestire l'hardware fisico. La società stessa possiede informazioni sulla carta di credito tramite telefonate e altri mezzi, quindi siamo soggetti alla conformità PCI. Tuttavia, questo nuovo sito Web, che non si trova sulla rete privata dell'azienda, ha un'esposizione limitata, se non assente, ai dati sensibili dei titolari di carta. Utilizzeremo 2 metodi di pagamento online:

Payal Express (Totalmente di terze parti, nessun dato sensibile disponibile)

Post diretto Authorize.net (Il modulo della carta di credito viene generato sul nostro sito, ma inviato direttamente a Authorize.net. Solo una violazione grave e inosservata renderebbe queste informazioni disponibili al mio server.)

Con questa configurazione, il database e il server web non vedono mai i dati della carta di credito, che mi portano al requisito 2.2.1 PCI DSS:

Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)

La mia speranza è che, poiché il database non ha dati sensibili (e per questo, potrebbe anche essere un database di tutti i miei colori e film preferiti), quindi non è considerato un "diverso livello di sicurezza". La mia opinione è che questo requisito si applicherebbe alle società più grandi che ospitano vari servizi e applicazioni, in cui la separazione dei due è piuttosto logica. Qualcuno può chiarire questa regola secondo la mia situazione, o dare qualche idea? Trovo difficile credere che tutti i VPS o server dedicati con lo stack LAMP installato (come tutte le soluzioni gestite "conformi alla PCI" che hanno affermato di voler installare per noi) siano tutti fuori conformità. Per lo meno, si tratta di una situazione in cui potrebbero applicarsi eccezioni speciali?

Inoltre, il server è bloccato con un firewall software, TLS 1.1 e versioni successive, restrizioni IP, archiviazione e monitoraggio dei registri, controlli di integrità dei file, malware e scanner di rete, ecc. Nel complesso, vorrei evitare il costo e la complessità di un server separato per controllare semplicemente una casella.

    
posta AirmanAJK 21.01.2017 - 03:46
fonte

2 risposte

1

Il requisito è che ogni server abbia una funzione primaria piuttosto che una singola funzione. È possibile affermare che la funzione principale del server è come un server Web e la funzionalità del database è una funzione secondaria. Considera un controller di dominio che può essere un server DHCP, un server NTP, un server DNS, un server di autenticazione, un server dei criteri di sicurezza.

In termini di livelli di sicurezza per la conformità PCI, dato che il database non memorizza i dati dei titolari di carta, non è necessario che questo sia un server separato su un segmento di rete interno. Poiché il server stesso è nel campo di applicazione, tutto sul server è in ambito, quindi il database deve ancora essere indurito e la registrazione in modo da proteggere ancora il sistema e ridurre i rischi.

Se hai un QSA, lui / lei dovrebbe essere in grado di fornire una guida.

    
risposta data 21.04.2017 - 17:09
fonte
0

pci ha molti standard per il commerciante [esegue il sito web eCommerce] e il fornitore di servizi [paypal].
è sufficiente seguire SAQ A per scaricare il pdf da pcisecuritystandards.org
ps: SAQ A - Commercianti non presenti sulla carta, tutte le funzioni di tutti i dati dei titolari di carta
in outsourcing quindi non tutti gli standard si applicano a voi penso che solo 14 Q li troverete nel saq A anche non è necessario alcun fornitore di scansione autorizzato (ASV) per eseguire la scansione del sistema.
Sentiti libero di fare ulteriori domande se ti sarebbe utile.

    
risposta data 21.01.2017 - 04:21
fonte

Leggi altre domande sui tag

Proxychains non funziona, il test di leak DNS mostra la posizione Le telecamere IP sono visualizzabili su Wifi domestico e REMOTO, ma non su 3G?