So isolieren Sie die PCI-Konformität

12

Wir verarbeiten derzeit Kreditkartendaten, speichern sie jedoch nicht. Wir autorisieren die Karten über eine selbst entwickelte Anwendung mit der authorize.net API.

Nach Möglichkeit möchten wir alle PCI-Anforderungen einschränken, die sich auf unsere Server auswirken (z. B. die Installation von Anti-Virus), auf eine isolierte separate Umgebung beschränken. Ist das möglich, während die Einhaltung weiterhin gewährleistet ist?

Wenn ja, was wäre eine ausreichende Isolierung? Wenn nicht, gibt es irgendwo, wo dieser Geltungsbereich klar definiert ist?

Kyle Brandt
quelle
Welche PCI-Konformitätsstufe möchten Sie erreichen? Wenn Sie sich an Level 4 halten, benötigen Sie lediglich einen Fragebogen zur Selbsteinschätzung und müssen auf bekannte Schwachstellen überprüft werden. einfach.
Ryan
@ Bryan Der SAQ ist kein Wundermittel. Es sind die gleichen Anforderungen wie bei einem Auditor. Sie müssen nur keine externe Partei hinzuziehen, um Ihre Arbeit zu überprüfen.
Zypher
1
Mein Punkt war, dass der PCI-Level Einschränkungen festlegt. Stufe 4 erfordert keine getrennten Dienste, da Sie keine Karteninhaberdaten speichern.
Ryan
@zypher siehe pcicomplianceguide.org/pcifaqs.php#6 "Händler mit mit dem Internet verbundenen Zahlungsanwendungssystemen, keine Speicherung von Karteninhaberdaten " - das heißt, der PCI-Selbstbewertungsfragebogen C ist in diesem Fall der richtige.
Jeff Atwood

Antworten:

9

Als ich das letzte Mal die PCI-Standards gelesen habe, waren die Isolationsanforderungen ziemlich genau angegeben (der Fachbegriff in PCI-Sprache ist, um den Umfang zu reduzieren) der PCI-kompatiblen Umgebung ). Solange diese offensichtlich nicht konformen Server keinen Zugriff auf die konforme Zone haben, sollte sie fliegen. Das wäre ein Netzwerksegment, das vollständig von Ihrem normalen Netzwerk geschützt ist, und die Regeln für diese Firewall sind selbst PCI-kompatibel.

Wir haben in meinem alten Job so ziemlich dasselbe gemacht.

Das Wichtigste ist, dass aus Sicht der PCI-konformen Zone alles , was sich nicht in der Zone befindet, wie das öffentliche Internet behandelt wird, egal ob es sich auch um dasselbe Netzwerk handelt, das auch Ihre Unternehmens-IP-Adresse speichert. Solange du das tust, solltest du gut sein.

sysadmin1138
quelle
Ich gehe davon aus, dass der Zugriff in beide Richtungen geht? Zum Beispiel für Windows benötigen wir eine andere Domäne und andere Benutzerkonten usw.? Da keiner der beiden envs den anderen für auth benutzen konnte?
Kyle Brandt
@KyleBrandt Wir hatten noch nie ein Windows-Thema für PCI-DSS, aber aufgrund der Funktionsweise von AD: Ja, separate Umgebungen auch dort. Vielleicht möchten Sie einige der klärenden Fragen auf security.se stellen, nur für den Fall.
sysadmin1138
6

Das ist eigentlich ganz normal. Wir bezeichnen Computer routinemäßig als "in-scope for PCI".

Außerdem ist "deutlich" manchmal nicht Teil des PCI-Lexikons. Die Sprache kann vage sein. Wir haben festgestellt, dass es manchmal am einfachsten ist, den Prüfer zu fragen, ob eine vorgeschlagene Lösung funktionieren würde. Beachten Sie beim PCI-DSS V2 Folgendes:

"Ohne angemessene Netzwerksegmentierung (manchmal als" flaches Netzwerk "bezeichnet) fällt das gesamte Netzwerk in den Geltungsbereich der PCI-DSS-Bewertung. Die Netzwerksegmentierung kann durch eine Reihe von physischen oder logischen Mitteln erfolgen, z. B. durch ordnungsgemäß konfigurierte interne Netzwerkfirewalls und Router mit starke Zugriffskontrolllisten oder andere Technologien, die den Zugriff auf ein bestimmtes Segment eines Netzwerks beschränken. "

Bedeutet das, dass ein normaler Netzwerk-Switch die Anforderungen erfüllt? Es wäre leicht für sie, das zu sagen, aber los geht's. Es sind "andere Technologien, die den Zugriff auf ein bestimmtes Segment eines Netzwerks einschränken". Ein weiterer meiner Favoriten zum Thema Scope:

"... Anwendungen umfassen alle gekauften und benutzerdefinierten Anwendungen, einschließlich interner und externer (z. B. Internet-) Anwendungen."

Ich bin mir über den AD-Teil nicht sicher, aber wir haben HIDS und Antivirus auf all unseren DCs, also vermute ich, dass dies der Fall sein könnte.

Greg Askew
quelle