Vorrei chiedere il primo requisito di PCI DSS che è costruito e mantiene una rete sicura.
È necessario disporre di un firewall fisico o può essere un esempio di software utilizzando le regole iptable del firewall del sistema operativo?
Un firewall fisico è solo un computer connesso in rete che esegue software, quindi ovviamente un firewall implementato nel software è accettabile. Non c'è altro tipo. Ciò che non può fare per la conformità PCI è eseguire il software firewall sulla stessa macchina di tutti i servizi che protegge.
PCI-DSS ha il concetto di sistemi / processi / dati / infrastruttura in-scope e fuori dall'ambito, ecc.
Quindi, se il tuo sistema rispetta questi principi, sei ok (fisico o virtuale)
Solo un suggerimento: Azure, AWS, ecc. Hanno uno stato di conformità PCI DSS (anche se non si traduce automaticamente in certificazione PCI DSS per i servizi che i clienti costruiscono o ospitano su queste piattaforme.)
Leggi altre domande sui tag pci-dss