Volevo sapere se posso ancora essere conforme allo standard PCI se conservo il titolare della carta e informazioni PII per più inquilini nello stesso database? Ad esempio, avere un identificatore a livello di tabella per identificare l'inquilino?
Lo standard PCI DSS non vieta direttamente le informazioni sui tenant condivisi, quindi la risposta più semplice è "sì, questo è PCI conforme. " La vera risposta è "... a condizione di avere sufficienti controlli logici per impedire agli inquilini di accedere a informazioni che non sono le loro." Hai un pen test dell'applicazione che dimostra che le informazioni sull'identificatore a livello di tabella sono state utilizzate con successo per l'accesso alle partizioni?
Questo è più strettamente spiegato nell'Appendice A "Requisiti PCI DSS aggiuntivi per provider di hosting condiviso":
A.1 Protect each entity’s (that is merchant, service provider, or
other entity) hosted environment and data
Questo è solo chiarendo esplicitamente che il DSS limita la tua capacità di condividere informazioni PCI. È altrettanto vero se hai due inquilini in un database come se avessi due commercianti in una struttura di hosting condiviso, ma non si sono presi la briga di precisare ogni sfumatura di grigio in dettaglio.
Nella mia esperienza, PCI si preoccupa che i controlli siano a posto. Le uniche persone che chiedono una completa separazione dagli altri inquilini sono ... inquilini. Di solito quelli grandi, che sentono di esistere per fornire un'applicazione per loro. Preferiscono chiederti di creare un'infrastruttura separata piuttosto che fidarti della tua capacità di creare controlli logici validi. È come una cosa istintiva con alcune grandi aziende.