¿Puede un entorno Linux ser compatible con PCI si la partición / archivo de intercambio no está cifrada y los PAN se cargan en la RAM mediante una aplicación?
El cumplimiento de PCI cubre mucho terreno: cualquier cosa que "almacene", "procese" o "transmita" datos de titulares de tarjetas.
Los diferentes sistemas necesitan que se les apliquen diferentes partes de la norma para mantener un todo cohesivo. Su sistema caería en la categoría de "procesos". Sus necesidades serían diferentes para el almacenamiento, etc.
En el caso que ha descrito, puede realizar la protección de los datos del titular de la tarjeta escritos en el disco de dos maneras distintas. Bloquee las páginas que contienen los datos del titular de la tarjeta en la RAM, cifre el archivo de intercambio o ambos .
Una tercera opción menos deseable es deshabilitar totalmente el archivo de intercambio.
A pesar de todo esto, parece que se está perdiendo el panorama general: el cumplimiento de PCI no se debe a que solo se mantenga la información de la tarjeta de crédito en la RAM .
Hay un lote de otras cosas que debe considerar, incluso si solo está manejando los datos del titular de la tarjeta en la RAM. Registro central, HIDS, NIDS, etc.
Lea otras preguntas en las etiquetas encryption linux pci-dss