Precedent for an inhouse server di informazioni sui titolari di carta?

0

La mia organizzazione sta intraprendendo un progetto per tentare di ridurre la quantità della nostra infrastruttura coperta nell'ambito PCI. In particolare, stiamo cercando di escludere il nostro software di merchandising web dall'ambito PCI.

Naturalmente, per fare in modo che ciò accada, dovremo assicurarci che i server delle applicazioni non ottengano mai le informazioni sui titolari di carta e che i server delle applicazioni non si "connettano" mai a in il CDE.

Ne abbiamo parlato con la nostra QSA e lui ha detto che molte organizzazioni fanno proprio questo. Ma a dispetto di molte ricerche su Google, posso trovare poche altre prove di questo, per non parlare delle migliori pratiche quando si intraprende un simile progetto.

Questo è (anche lontanamente) un modo adeguato per affrontare il problema? Cosa dovrei sapere quando si entra in un progetto come questo? E chi altri ha scritto sull'argomento e per quale motivo dovrei trovare ulteriori informazioni?

Grazie in anticipo.

    
posta user1483512 14.12.2012 - 22:27
fonte

1 risposta

1

Non ho risorse specifiche a cui puntare perché, nel bene o nel male, il consiglio PCI tipicamente rimanda ai QSA piuttosto che tentare di coprire ogni scenario di un'organizzazione che incontro.

Il tuo QSA è responsabile di determinare esattamente cosa devi fare per segmentare correttamente le altre applicazioni che desideri mantenere fuori dal campo di applicazione. La segmentazione di solito richiede il posizionamento di un sistema su sottoreti differenti con un firewall in mezzo. La misura in cui i flussi di dati tra le subnet devono essere limitati tra le due reti è una buona discussione da avere con il QSA.

Come QSA, non sono d'accordo con la tua affermazione secondo cui i tuoi server applicazioni "non possono connettersi a nulla nel CDE". La mia interpretazione è che il traffico dovrebbe essere molto limitato e avere un strong bisogno di business. Il DSS utilizza una rete piatta come esempio di nessuna segmentazione, in cui non esiste alcun controllo di accesso tra due reti. D'altra parte, utilizza l'esempio di "router con forti elenchi di controllo degli accessi" come esempio di segmentazione della rete.

Mentre il traffico in entrata richiederà molto probabilmente qualche input da parte tua, QSA, il traffico in uscita è un po 'più flessibile. Se riesci a strutturare la tua rete in modo tale che le connessioni siano avviate dall'interno del CDE e fuori dal firewall, avrai una sicurezza molto migliore e un tempo molto più semplice che giustifica il traffico.

Solo i miei pensieri.

    
risposta data 15.12.2012 - 03:34
fonte

Leggi altre domande sui tag