Aclaración sobre ser compatible con PCI

Question

Aclaración sobre ser compatible con PCI

#1 de Lucas Kauffman (3 votos)
#2 de baordog (1 votos)

5

Entonces, digamos que tenemos un sitio de producción que requiere acceso de VPN al centro de datos. También tenemos un centro de datos dev / qa en un centro de datos separado con su propia conexión VPN. Cuando estamos sentados en la oficina, tenemos un túnel IPSEC al centro de datos dev / qa, pero tenemos que conectarnos a través de VPN para la producción. Entonces, si estamos en la oficina, la vida es buena, puedo conectarme a una máquina dev o una máquina prod. PERO no puedo saltar de prod a dev y viceversa.

Todo estaba bien, pero recientemente los chicos de la red se deshicieron de la ruta que nos permitió usar una VPN para conectarnos a prod y dev (no puedo saltar entre centros de datos). Nos dijeron que sería una violación de PCI, solo estoy buscando una aclaración sobre si esto es cierto o no. Cuando trabajamos desde casa, es una molestia tener que conectarse y desconectarse entre las dos VPN.

Más información (aclaración):

Cuando estoy en una máquina dev, no debería poder conectarme a una máquina prod y viceversa.
Cuando estoy sentado en la oficina, puedo conectarme libremente a una máquina de desarrollo desde mi computadora portátil, pero para conectarme a una máquina prod (desde mi computadora portátil), debo conectarme a través de VPN. NO PUEDO saltar entre los centros de datos de un host a otro.
En un momento dado, cuando trabajamos desde casa, podríamos conectarnos a la VPN prod y conectar los centros de datos prod y dev, PERO no podemos saltar entre los centros de datos a través de un host local en el DC.

pci-dss

pregunta luckytaxi 17.02.2015 - 20:29

fuente

2 respuestas

Lea otras preguntas en las etiquetas pci-dss

¿Se puede detectar un keylogger de hardware mediante la medición de la micro tensión USB? ¿Es una mala idea usar un nombre de dominio para acceder a mi VPN?

score 3 · Answer 1

Además de la respuesta de Baordog, tenga en cuenta que PCI abarca todas las redes en las que almacena datos de tarjetas de crédito. No parecería improbable que consideren dicho enlace como una violación en términos de segregar su entorno PCI con un entorno que no sea pci.

PCI DSS se aplica a todos los componentes del sistema ... conectados a la Entorno de datos del titular de la tarjeta (CDE). El CDE incluye personas, procesos. o tecnología que almacena, procesa o transmite datos del titular de la tarjeta. Red segmentación, o aislamiento (segmentación) del CDE del resto de la Red ... es muy recomendable. Sin red adecuada La segmentación de toda la red está dentro del alcance de la evaluación de PCI DSS. … La adecuada segmentación de la red aísla los sistemas que almacenan, procesan, o transmitir datos del titular de la tarjeta de aquellos que no lo hacen. Documentando los flujos de datos del titular de la tarjeta a través de un diagrama de flujo de datos ayudan a comprender completamente todos los datos del titular de la tarjeta fluyen y garantizan que cualquier segmentación de la red sea eficaz para aislar el entorno de datos del titular de la tarjeta ".

Puede ser que su auditor de PCI haya hecho un comentario sobre el hecho de que esta segregación no es suficiente, lo que implica el riesgo de tener en cuenta los entornos de control de calidad y desarrollo de su red PCI. Y que, por lo tanto, los administradores de la red decidieron deshabilitar esa regla.

score 1 · Answer 2

PCI Requisito DSS 6.4.2 separación de tareas entre entornos de desarrollo / prueba

En realidad, una publicación anterior en este sitio web sugiere la respuesta aquí. No soy un experto en PCI, pero creo que sí es un problema. El concepto de separación de tareas implica que los desarrolladores no deberían tener acceso a los servidores de producción, por lo que la unión de ambos a través de un solo inicio de sesión vpn parece estar en violación de eso.

Dado que los asuntos de PCI son muy serios, debe consultar a un experto de PCI en persona antes de tomar una decisión.