Cómo aislar el cumplimiento de PCI

12

Actualmente procesamos, pero no almacenamos, datos de tarjetas de crédito. Autorizamos las tarjetas a través de una aplicación de desarrollo propio utilizando la API authorize.net.

Si es posible, nos gustaría limitar todos los requisitos de PCI que afectan a nuestros servidores (como instalar Anti-Virus) en un entorno separado y aislado. ¿Es posible hacerlo mientras se mantiene el cumplimiento?

Si es así, ¿qué constituiría un aislamiento suficiente? Si no, ¿hay algún lugar donde ese alcance esté claramente definido?

Kyle Brandt
fuente
¿Qué nivel de cumplimiento de PCI está tratando de alcanzar? Si sigue con el nivel 4, solo necesita un cuestionario de autoevaluación y analizarlo en busca de vulnerabilidades conocidas. sencillo.
Ryan
@ryan El SAQ no es una bala mágica. Son los mismos requisitos que solicitar la entrada de un auditor. Simplemente no es necesario que una persona externa entre y verifique su trabajo.
Zypher
1
Mi punto era que el nivel de PCI determina restricciones. El nivel 4 no requiere servicios separados porque no está almacenando datos del titular de la tarjeta.
Ryan
@zypher vea pcicomplianceguide.org/pcifaqs.php#6 "comerciantes con sistemas de aplicaciones de pago conectados a Internet, sin almacenamiento de datos del titular de la tarjeta ", lo que significa que el cuestionario de autoevaluación PCI C es el correcto en ese caso.
Jeff Atwood

Respuestas:

9

La última vez que leí los estándares PCI, tenían los requisitos de aislamiento bastante bien establecidos (el término técnico en lenguaje PCI es reducir el alcance del entorno compatible con PCI). Siempre que esos servidores flagrantemente no conformes tengan cero acceso a la zona compatible, debería volar. Ese sería un segmento de red que está completamente protegido por firewall desde su red normal, y las reglas en ese firewall son en sí mismas compatibles con PCI.

Hicimos casi lo mismo en mi antiguo trabajo.

La clave para tener en cuenta es que, desde la perspectiva de la zona compatible con PCI, todo lo que no esté en la zona debe ser tratado como Internet público, sin importar si también es la misma red que también almacena su IP corporativa. Mientras lo hagas, deberías ser bueno.

sysadmin1138
fuente
¿Asumo que el acceso va en ambos sentidos? Entonces, por ejemplo, en el caso de Windows, necesitaríamos un dominio diferente y cuentas de usuario, etc. ¿Como ninguno de los dos env podría usar al otro para la autenticación?
Kyle Brandt
@KyleBrandt Nunca tuvimos Windows sujeto a PCI-DSS, pero debido a cómo funciona AD: sí, también hay entornos separados allí. Es posible que desee dejar algunas de las preguntas aclaratorias en security.se por si acaso.
sysadmin1138
6

Esto es realmente bastante común. Rutinariamente nos referimos a / designamos computadoras como "dentro del alcance de PCI".

Además, "claramente" a veces no es parte del léxico PCI. El lenguaje puede ser vago. Hemos encontrado que a veces el enfoque más simple puede ser preguntarle al auditor si una solución propuesta funcionaría. Considere lo siguiente del PCI-DSS V2:

"Sin una adecuada segmentación de la red (a veces llamada" red plana "), toda la red está dentro del alcance de la evaluación PCI DSS. La segmentación de la red se puede lograr a través de varios medios físicos o lógicos, como firewalls de red internos configurados correctamente, enrutadores con fuertes listas de control de acceso u otras tecnologías que restringen el acceso a un segmento particular de una red ".

¿Eso significa que un conmutador de red normal cumple los requisitos? Sería fácil para ellos decirlo, pero ahí lo tienes. Son "otras tecnologías que restringen el acceso a un segmento particular de una red". Otro de mis favoritos sobre el alcance:

"... Las aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones internas y externas (por ejemplo, Internet)".

No estoy seguro de la parte de AD, pero tenemos HIDS y antivirus en todos nuestros DC, por lo que sospecho que puede ser.

Greg Askew
fuente