Actualmente procesamos, pero no almacenamos, datos de tarjetas de crédito. Autorizamos las tarjetas a través de una aplicación de desarrollo propio utilizando la API authorize.net.
Si es posible, nos gustaría limitar todos los requisitos de PCI que afectan a nuestros servidores (como instalar Anti-Virus) en un entorno separado y aislado. ¿Es posible hacerlo mientras se mantiene el cumplimiento?
Si es así, ¿qué constituiría un aislamiento suficiente? Si no, ¿hay algún lugar donde ese alcance esté claramente definido?
Respuestas:
La última vez que leí los estándares PCI, tenían los requisitos de aislamiento bastante bien establecidos (el término técnico en lenguaje PCI es reducir el alcance del entorno compatible con PCI). Siempre que esos servidores flagrantemente no conformes tengan cero acceso a la zona compatible, debería volar. Ese sería un segmento de red que está completamente protegido por firewall desde su red normal, y las reglas en ese firewall son en sí mismas compatibles con PCI.
Hicimos casi lo mismo en mi antiguo trabajo.
La clave para tener en cuenta es que, desde la perspectiva de la zona compatible con PCI, todo lo que no esté en la zona debe ser tratado como Internet público, sin importar si también es la misma red que también almacena su IP corporativa. Mientras lo hagas, deberías ser bueno.
fuente
Esto es realmente bastante común. Rutinariamente nos referimos a / designamos computadoras como "dentro del alcance de PCI".
Además, "claramente" a veces no es parte del léxico PCI. El lenguaje puede ser vago. Hemos encontrado que a veces el enfoque más simple puede ser preguntarle al auditor si una solución propuesta funcionaría. Considere lo siguiente del PCI-DSS V2:
"Sin una adecuada segmentación de la red (a veces llamada" red plana "), toda la red está dentro del alcance de la evaluación PCI DSS. La segmentación de la red se puede lograr a través de varios medios físicos o lógicos, como firewalls de red internos configurados correctamente, enrutadores con fuertes listas de control de acceso u otras tecnologías que restringen el acceso a un segmento particular de una red ".
¿Eso significa que un conmutador de red normal cumple los requisitos? Sería fácil para ellos decirlo, pero ahí lo tienes. Son "otras tecnologías que restringen el acceso a un segmento particular de una red". Otro de mis favoritos sobre el alcance:
"... Las aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones internas y externas (por ejemplo, Internet)".
No estoy seguro de la parte de AD, pero tenemos HIDS y antivirus en todos nuestros DC, por lo que sospecho que puede ser.
fuente