Aclaración sobre ser compatible con PCI

5

Entonces, digamos que tenemos un sitio de producción que requiere acceso de VPN al centro de datos. También tenemos un centro de datos dev / qa en un centro de datos separado con su propia conexión VPN. Cuando estamos sentados en la oficina, tenemos un túnel IPSEC al centro de datos dev / qa, pero tenemos que conectarnos a través de VPN para la producción. Entonces, si estamos en la oficina, la vida es buena, puedo conectarme a una máquina dev o una máquina prod. PERO no puedo saltar de prod a dev y viceversa.

Todo estaba bien, pero recientemente los chicos de la red se deshicieron de la ruta que nos permitió usar una VPN para conectarnos a prod y dev (no puedo saltar entre centros de datos). Nos dijeron que sería una violación de PCI, solo estoy buscando una aclaración sobre si esto es cierto o no. Cuando trabajamos desde casa, es una molestia tener que conectarse y desconectarse entre las dos VPN.

Más información (aclaración):

  • Cuando estoy en una máquina dev, no debería poder conectarme a una máquina prod y viceversa.
  • Cuando estoy sentado en la oficina, puedo conectarme libremente a una máquina de desarrollo desde mi computadora portátil, pero para conectarme a una máquina prod (desde mi computadora portátil), debo conectarme a través de VPN. NO PUEDO saltar entre los centros de datos de un host a otro.
  • En un momento dado, cuando trabajamos desde casa, podríamos conectarnos a la VPN prod y conectar los centros de datos prod y dev, PERO no podemos saltar entre los centros de datos a través de un host local en el DC.
pregunta luckytaxi 17.02.2015 - 20:29
fuente

2 respuestas

3

Además de la respuesta de Baordog, tenga en cuenta que PCI abarca todas las redes en las que almacena datos de tarjetas de crédito. No parecería improbable que consideren dicho enlace como una violación en términos de segregar su entorno PCI con un entorno que no sea pci.

  

PCI DSS se aplica a todos los componentes del sistema ... conectados a la   Entorno de datos del titular de la tarjeta (CDE). El CDE incluye personas, procesos.   o tecnología que almacena, procesa o transmite datos del titular de la tarjeta. Red   segmentación, o aislamiento (segmentación) del CDE del resto de la   Red ... es muy recomendable. Sin red adecuada   La segmentación de toda la red está dentro del alcance de la evaluación de PCI DSS.   … La adecuada segmentación de la red aísla los sistemas que almacenan, procesan,   o transmitir datos del titular de la tarjeta de aquellos que no lo hacen. Documentando   los flujos de datos del titular de la tarjeta a través de un diagrama de flujo de datos ayudan a comprender completamente   todos los datos del titular de la tarjeta fluyen y garantizan que cualquier segmentación de la red sea   eficaz para aislar el entorno de datos del titular de la tarjeta ".

Puede ser que su auditor de PCI haya hecho un comentario sobre el hecho de que esta segregación no es suficiente, lo que implica el riesgo de tener en cuenta los entornos de control de calidad y desarrollo de su red PCI. Y que, por lo tanto, los administradores de la red decidieron deshabilitar esa regla.

    
respondido por el Lucas Kauffman 17.02.2015 - 21:02
fuente
1

PCI Requisito DSS 6.4.2 separación de tareas entre entornos de desarrollo / prueba

En realidad, una publicación anterior en este sitio web sugiere la respuesta aquí. No soy un experto en PCI, pero creo que es un problema. El concepto de separación de tareas implica que los desarrolladores no deberían tener acceso a los servidores de producción, por lo que la unión de ambos a través de un solo inicio de sesión vpn parece estar en violación de eso.

Dado que los asuntos de PCI son muy serios, debe consultar a un experto de PCI en persona antes de tomar una decisión.

    
respondido por el baordog 17.02.2015 - 21:00
fuente

Lea otras preguntas en las etiquetas