Como isolar a conformidade com PCI

12

Atualmente, processamos, mas não armazenamos, dados de cartão de crédito. Autorizamos os cartões por meio de um aplicativo desenvolvido usando a API authorize.net.

Se possível, gostaríamos de limitar todos os requisitos de PCI que afetam nossos servidores (como instalar o Antivírus) em um ambiente separado isolado. Isso é possível enquanto ainda mantém a conformidade?

Se sim, o que constituiria isolamento suficiente? Se não, existe algum lugar onde esse escopo está claramente definido?

    
por Kyle Brandt 22.08.2011 / 23:32

2 respostas

9

A última vez que li os padrões PCI, eles tinham os requisitos de isolamento bem definidos (o termo técnico na linguagem PCI é reduzir o escopo do ambiente compatível com PCI). Desde que esses servidores flagrantemente não conformes tenham acesso zero à zona compatível, ele deve voar. Isso seria um segmento de rede totalmente protegido por firewall da sua rede normal, e as regras desse firewall são compatíveis com PCI.

Nós fizemos a mesma coisa no meu antigo emprego.

A principal coisa a ter em mente é que da perspectiva da zona compatível com PCI tudo o que não está na zona deve ser tratado como a Internet pública, não importa se é também o mesmo rede que também armazena seu IP corporativo. Contanto que você faça isso, você deve ser bom.

    
por 22.08.2011 / 23:52
6

Isso é bem comum. Referimo-nos rotineiramente a / designar computadores como "in-scope for PCI".

Além disso, "claramente" às vezes não faz parte do léxico PCI. A linguagem pode ser vaga. Descobrimos que às vezes a abordagem mais simples pode ser perguntar ao auditor se uma solução proposta funcionaria. Considere o seguinte do PCI-DSS V2:

"Sem segmentação de rede adequada (às vezes chamada de" rede plana "), toda a rede está no escopo da avaliação do PCI DSS. A segmentação de rede pode ser obtida por vários meios físicos ou lógicos, como firewalls de rede internos configurados adequadamente , roteadores com listas de controle de acesso strongs ou outras tecnologias que restringem o acesso a um segmento específico de uma rede. "

Isso significa que um switch de rede normal atende aos requisitos? Seria fácil para eles dizerem, mas lá vai você. São "outras tecnologias que restringem o acesso a um segmento específico de uma rede". Outro dos meus favoritos sobre o escopo:

"... Os aplicativos incluem todos os aplicativos comprados e personalizados, incluindo internos e aplicativos externos (por exemplo, Internet). "

Eu não tenho certeza sobre a parte AD, mas nós temos HIDS e antivírus em todos os nossos CDs, então eu suspeito que seja.

    
por 23.08.2011 / 03:13