PCI-DSS - accesso shell basato su chiave ai server interni?

1

Nel seguente requisito PCI 2.0, non sono sicuro di come interpretare l'accesso del computer alle macchine interne (non accessibile da remoto):

Requirement 8: Assign a unique ID to each person with computer access

8.2 In addition to assigning a unique ID, employ at least one of the 
    following methods to authenticate all users:
    - Something you know, such as a password or passphrase
    - Something you have, such as a token device or smart card
    - Something you are, such as a biometric

Nel nostro sistema disponiamo di una macchina gateway accessibile da remoto e autenticiamo gli utenti in base ai requisiti PCI-DSS.

Tuttavia, per varie attività, è necessario accedere a una o più macchine interne e, di solito, questo è completamente automatizzato (ad esempio, gli aggiornamenti di sistema). In genere ciò avviene tramite SSH - utilizzando accesso senza password .

La chiave privata risiede sul server gateway (crittografato o non crittografato).

La mia domanda è allora se questo è in violazione con il sub-requisito 8.2. L'utente è autenticato con la macchina gateway, ma il requisito si applica anche per l'accesso alle macchine interne?

Si noti che l'obiettivo generale del requisito 8 è quello di identificare in modo univoco l'accesso al computer e non di mettere "sicurezza oscura".

    
posta malthe 25.10.2013 - 11:08
fonte

2 risposte

0

Penso che questo vada bene, purché ogni utente abbia una chiave individuale; una chiave è un esempio di "qualcosa che conosci".

Non credo che PCI-DSS sia prescrittivo sulla necessità di crittografarlo, ma in caso contrario, suggerisco di giustificare tale decisione (ad esempio, il sistema ha una crittografia dell'intero disco o è fisicamente presente posizione protetta).

Se più utenti condividono una chiave, si tratta di una violazione dell'8,2 perché in effetti ciascuna persona non ha più un ID univoco.

Dichiarazione di non responsabilità: non sono un QSA ed è la tua parola di QSA che sarà definitiva.

    
risposta data 25.10.2013 - 11:21
fonte
1

Ogni utente dovrebbe avere una chiave per ogni macchina su cui ha bisogno di lavorare. Questa chiave dovrebbe essere protetta da password e NON risiedere sul server gateway. Non dovresti condividere le chiavi tra i diversi utenti. Se questo è troppo complicato, puoi dare un'occhiata alla centrifuga o SSO. Non dimenticare la responsabilità!

    
risposta data 25.10.2013 - 18:03
fonte

Leggi altre domande sui tag