Como isolar a conformidade com PCI

Atualmente, processamos, mas não armazenamos, dados do cartão de crédito. Nós autorizamos os cartões por meio de um aplicativo desenvolvido automaticamente usando a API authorize.net.

Se possível, gostaríamos de limitar todos os requisitos do PCI que afetam nossos servidores (como a instalação do Antivírus) em um ambiente separado e isolado. Isso é possível, mantendo a conformidade?

Se sim, o que constituiria isolamento suficiente? Caso contrário, existe algum lugar onde esse escopo esteja claramente definido?

security pci-dss

— Kyle Brandt
fonte

Qual nível de conformidade com o PCI você está tentando alcançar? Se você permanecer no nível 4, precisará apenas de um questionário de auto-avaliação e deve ser verificado quanto a vulnerabilidades conhecidas. simples.

— 23911 Ryan

@ryan O SAQ não é uma bala mágica. São os mesmos requisitos que um auditor. Você não precisa que uma parte externa entre e verifique seu trabalho.

— Zypher

Meu argumento foi que o nível do PCI determina restrições. O nível 4 não requer serviços separados porque você não está armazenando dados do titular do cartão.

— 23711 Ryan

@zypher, consulte pcicomplianceguide.org/pcifaqs.php#6 "comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem armazenamento de dados do portador do cartão " - o que significa que o questionário de autoavaliação PCI C é o correto nesse caso.

— precisa saber é o seguinte

Respostas:

A última vez que li os padrões PCI, eles tinham os requisitos de isolamento bastante bem estabelecidos (o termo técnico na linguagem PCI é reduzir o escopo do ambiente compatível com PCI). Enquanto esses servidores flagrantemente não compatíveis tiverem acesso zero à zona compatível, ele deverá voar. Esse seria um segmento de rede totalmente protegido por firewall da sua rede normal, e as regras desse firewall são compatíveis com PCI.

Nós fizemos a mesma coisa no meu antigo emprego.

O principal aspecto a ser lembrado é que, da perspectiva da zona compatível com PCI, tudo o que não está na zona deve ser tratado como a Internet pública, não importa se também é a mesma rede que armazena o IP corporativo. Contanto que você faça isso, você deve ser bom.

— sysadmin1138
fonte

Suponho que o acesso é nos dois sentidos? Por exemplo, no caso do Windows, precisaríamos de um domínio e contas de usuário diferentes, etc.? Como nenhum env poderia usar o outro para autenticação?

— Kyle Brandt

@KyleBrandt Nunca tivemos um Windows sujeito ao PCI-DSS, mas devido ao modo como o AD funciona: sim, separa ambientes também. Você pode deixar algumas das perguntas esclarecedoras em security.se por precaução.

— sysadmin1138

Isso é realmente bastante comum. Rotineiramente, nos referimos a / designamos computadores como "dentro do escopo para PCI".

Além disso, "claramente" às vezes não faz parte do léxico do PCI. A linguagem pode ser vaga. Descobrimos que algumas vezes a abordagem mais simples pode ser perguntar ao auditor se uma solução proposta funcionaria. Considere o seguinte no PCI-DSS V2:

"Sem segmentação de rede adequada (às vezes chamada de" rede plana "), toda a rede está no escopo da avaliação do PCI DSS. A segmentação de rede pode ser alcançada através de vários meios físicos ou lógicos, como firewalls de rede internos adequadamente configurados, roteadores com listas de controle de acesso fortes ou outras tecnologias que restringem o acesso a um segmento específico de uma rede ".

Isso significa que um comutador de rede normal atende aos requisitos? Seria fácil para eles dizerem isso, mas aí está. São "outras tecnologias que restringem o acesso a um segmento específico de uma rede". Outro dos meus favoritos sobre o escopo:

"... Os aplicativos incluem todos os aplicativos adquiridos e personalizados, incluindo aplicativos internos e externos (por exemplo, Internet)."

Não tenho certeza sobre a parte do AD, mas temos HIDS e antivírus em todos os nossos controladores de domínio, por isso suspeito que seja.

— Greg Askew
fonte