PCI 준수를 분리하는 방법

우리는 현재 신용 카드 데이터를 처리하지만 저장하지는 않습니다. 우리는 authorize.net API를 사용하여 자체 개발 된 응용 프로그램을 통해 카드를 인증합니다.

가능하면 서버에 영향을 미치는 PCI의 모든 요구 사항 (예 : 안티 바이러스 설치)을 격리 된 별도의 환경으로 제한하려고합니다. 규정 준수를 유지하면서 그렇게 할 수 있습니까?

그렇다면 무엇이 충분한 격리를 구성합니까? 그렇지 않은 경우 해당 범위가 명확하게 정의 된 곳이 있습니까?

security pci-dss

— 카일 브란트
소스

어떤 PCI 규정 준수 수준을 달성하려고합니까? 레벨 4를 고수하면 자체 평가 설문지가 필요하며 알려진 취약점에 대해 스캔해야합니다. 단순한.

— Ryan

@ryan SAQ는 마법의 총알이 아닙니다. 감사인이 들어오는 것과 동일한 요구 사항입니다. 외부 당사자가 와서 작업을 확인하지 않아도됩니다.

— Zypher

내 요점은 PCI 수준이 제한을 결정한다는 것이었다. 레벨 4는 카드 소지자 데이터를 저장하지 않기 때문에 별도의 서비스가 필요하지 않습니다.

— Ryan

@zypher pcicomplianceguide.org/pcifaqs.php#6 "결제 애플리케이션 시스템이 인터넷에 연결되어 있고 카드 소지자 데이터 저장 공간이없는 상인"을 참조하십시오. 이는 PCI 자체 평가 설문지 C 가 올바른 경우임을 의미합니다.

— Jeff Atwood

답변:

마지막으로 PCI 표준을 읽었을 때, 격리 요구 사항을 잘 설명했습니다 (PCI 언어의 기술 용어 는 PCI 호환 환경 의 범위 를 줄이는 것입니다). 명백히 호환되지 않는 서버가 준수 영역에 액세스 할 수없는 경우에는 비행해야합니다. 이는 일반 네트워크에서 완전히 방화벽 처리 된 네트워크 세그먼트이며 해당 방화벽의 규칙 자체는 PCI와 호환됩니다.

우리는 저의 옛 직장에서 똑같은 일을했습니다.

염두에 두어야 할 핵심 사항 은 PCI 호환 영역의 관점 에서 볼 때 영역에 포함되지 않은 모든 항목은 회사 IP를 저장하는 동일한 네트워크인지 여부에 관계없이 공용 인터넷처럼 취급되어야한다는 것입니다. 그렇게하는 한 잘 지내야합니다.

— sysadmin1138
소스

액세스가 양방향으로 진행된다고 가정합니까? 예를 들어 Windows의 경우 다른 도메인과 사용자 계정 등이 필요합니까? env가 인증을 위해 다른 것을 사용할 수 없기 때문에?

— Kyle Brandt

@KyleBrandt Windows에는 PCI-DSS가 적용되는 Windows가 없었지만 AD의 작동 방식으로 인해 별도 환경이 있습니다. 경우에 따라 security.se에서 명확한 질문 중 일부를 삭제하고 싶을 수도 있습니다.

— sysadmin1138

이것은 실제로 매우 일반적입니다. 우리는 일상적으로 컴퓨터를 "범위 내 PCI"로 지칭 / 지정합니다.

또한 "명확하게"는 때때로 PCI 사전의 일부가 아닙니다. 언어가 모호 할 수 있습니다. 제안 된 솔루션이 효과가 있는지 감사 자에게 문의하는 것이 가장 간단한 방법 일 수 있습니다. PCI-DSS V2에서 다음을 고려하십시오.

"적절한 네트워크 세분화 ("플랫 네트워크 "라고도 함)없이 전체 네트워크는 PCI DSS 평가 범위 내에 있습니다. 네트워크 세분화는 올바르게 구성된 내부 네트워크 방화벽, 강력한 액세스 제어 목록 또는 네트워크의 특정 세그먼트에 대한 액세스를 제한하는 기타 기술 "

정상적인 네트워크 스위치가 요구 사항을 충족한다는 의미입니까? 그들이 그렇게 말하기는 쉽지만 거기에 있습니다. "네트워크의 특정 세그먼트에 대한 액세스를 제한하는 다른 기술"입니다. 범위에 대한 또 다른 즐겨 찾기 :

"... 응용 프로그램에는 내부 및 외부 (예 : 인터넷) 응용 프로그램을 포함하여 구매 한 모든 사용자 정의 응용 프로그램이 포함됩니다."

AD 부분에 대해서는 잘 모르겠지만 모든 DC에 HIDS 및 바이러스 백신이 있으므로 그럴 가능성이 있습니다.

— 그렉 비 스케
소스