Cara Mengisolasi Kepatuhan PCI

Kami saat ini memproses, tetapi tidak menyimpan, data kartu kredit. Kami mengesahkan kartu melalui aplikasi yang dikembangkan sendiri menggunakan API authorize.net.

Jika memungkinkan, kami ingin membatasi semua persyaratan PCI yang mempengaruhi server kami (seperti menginstal Anti-Virus) ke lingkungan terpisah yang terisolasi. Apakah itu mungkin dilakukan dengan tetap mempertahankan kepatuhan?

Jika demikian, apa yang akan dianggap sebagai isolasi yang memadai? Jika tidak, apakah ada tempat di mana ruang lingkup itu didefinisikan dengan jelas?

security pci-dss Kyle Brandt
sumber

Tingkat kepatuhan PCI apa yang ingin Anda capai? Jika Anda tetap dengan level 4 Anda hanya perlu kuesioner penilaian diri dan dipindai terhadap kerentanan yang diketahui. sederhana.

Ryan

@ryan SAQ bukan peluru ajaib. Ini persyaratan yang sama seperti memiliki auditor yang masuk. Anda tidak perlu memiliki pihak eksternal masuk dan memverifikasi pekerjaan Anda.

Zypher

Maksud saya adalah level PCI menentukan batasan. Level 4 tidak memerlukan layanan terpisah karena Anda tidak menyimpan data pemegang kartu.

Ryan

@ zypher lihat pcicomplianceguide.org/pcifaqs.php#6 "pedagang dengan sistem aplikasi pembayaran yang terhubung ke internet, tidak ada penyimpanan data pemegang kartu " - yang berarti kuesioner penilaian mandiri PCI C adalah yang benar dalam kasus itu.

Jeff Atwood

Jawaban:

Terakhir kali saya membaca standar PCI, mereka memiliki persyaratan isolasi yang dinyatakan dengan baik (istilah teknis dalam bahasa PCI adalah untuk mengurangi ruang lingkup lingkungan yang memenuhi PCI). Selama server yang benar-benar tidak memenuhi persyaratan tersebut tidak memiliki akses nol ke zona yang sesuai, itu harus terbang. Itu akan menjadi segmen jaringan yang sepenuhnya firewall dari jaringan normal Anda, dan aturan tentang firewall itu sendiri adalah PCI-compliant.

Kami melakukan hal yang sama di pekerjaan lama saya.

Hal utama yang perlu diingat adalah bahwa dari perspektif zona PCI-compliant, semua yang tidak berada di zona tersebut harus diperlakukan seperti Internet publik, tidak peduli apakah itu juga merupakan jaringan yang sama yang juga menyimpan IP perusahaan Anda. Selama Anda melakukan itu, Anda harus menjadi baik.

sysadmin1138
sumber

Saya berasumsi bahwa akses berjalan dua arah? Jadi misalnya dalam kasus Windows, kita akan memerlukan domain dan akun pengguna lain, dll? Karena env tidak bisa menggunakan yang lain untuk auth?

Kyle Brandt

@KyleBrandt Kami tidak pernah memiliki subjek Windows untuk PCI-DSS, tetapi karena cara kerja AD: ya, lingkungan yang terpisah di sana juga. Anda mungkin ingin mengajukan beberapa pertanyaan klarifikasi ke keamanan.se berjaga-jaga.

sysadmin1138

Ini sebenarnya sangat umum. Kami secara rutin menyebut / menunjuk komputer sebagai "in-scope for PCI".

Juga, "jelas" kadang-kadang bukan bagian dari leksikon PCI. Bahasanya bisa kabur. Kami telah menemukan bahwa kadang-kadang pendekatan yang paling sederhana adalah bertanya kepada auditor apakah solusi yang diusulkan akan berhasil. Pertimbangkan hal berikut dari PCI-DSS V2:

"Tanpa segmentasi jaringan yang memadai (kadang-kadang disebut" jaringan datar ") seluruh jaringan berada dalam ruang lingkup penilaian PCI DSS. Segmentasi jaringan dapat dicapai melalui sejumlah cara fisik atau logis, seperti firewall jaringan internal yang dikonfigurasi dengan benar, router dengan daftar kontrol akses yang kuat, atau teknologi lain yang membatasi akses ke segmen tertentu dari jaringan. "

Apakah itu berarti bahwa switch jaringan normal memenuhi persyaratan? Akan mudah bagi mereka untuk mengatakannya, tetapi begitulah. Ini adalah "teknologi lain yang membatasi akses ke segmen tertentu dari jaringan." Lain favorit saya tentang ruang lingkup:

"... Aplikasi mencakup semua aplikasi yang dibeli dan kustom, termasuk aplikasi internal dan eksternal (misalnya, Internet)."

Saya tidak yakin tentang bagian AD, tetapi kami memiliki HIDS dan antivirus di semua DC kami, jadi saya curiga itu mungkin.

Greg Askew
sumber