PCI DSS: solo una función primaria por servidor

Question

PCI DSS: solo una función primaria por servidor

#1 de paj28 (6 votos)
#2 de David Hoelzer (3 votos)
#3 de richhallstoke (2 votos)

4

El PCI DSS dice que un servidor solo puede tener una función principal y estoy un poco confundido sobre lo que significa "una función principal"

tenemos un servidor web con base de datos: páginas web y correo electrónico

¿Esto es una violación de las reglas? porque casi todos los servidores web vienen con una base de datos, un servidor web y un correo electrónico. ¿Somos solo un comerciante muy pequeño con una tienda web muy pequeña que no puedo imaginar que todos estén dividiendo todo esto en 3 servidores? esto sería muy caro?

2.2.1 Implemente solo una función primaria por servidor para evitar que las funciones que requieren diferentes niveles de seguridad coexistan en el mismo servidor. (Por ejemplo, los servidores web, los servidores de bases de datos y DNS deben implementarse en servidores separados).

Por ejemplo:

Una base de datos, que debe contar con medidas de seguridad sólidas, podría correr el riesgo de compartir un servidor con una aplicación web, que debe estar abierta y orientarse directamente a Internet. Si no se aplica un parche a una función aparentemente menor, podría haber un compromiso que afecte a otras funciones más importantes (como una base de datos) en el mismo servidor.

Este requisito está destinado a todos los servidores dentro del entorno de datos del titular de la tarjeta (generalmente basado en Unix, Linux o Windows). Es posible que este requisito no se aplique a los sistemas que tienen la capacidad de implementar niveles de seguridad de forma nativa en un solo servidor (por ejemplo, mainframe).

He visto PCI-DSS: ¿una aplicación por servidor? pero todavía estoy confundido

webserver pci-dss pci-scope

pregunta user1398287 04.02.2014 - 23:02

fuente

3 respuestas

Lea otras preguntas en las etiquetas webserver pci-dss pci-scope

openssl - generando par de claves rsa - clave pública SSH plausiblemente deniable, ¿tiene sentido?

score 6 · Answer 1

Sí, deberían ser servidores separados.

Sin embargo, no necesitan ser servidores físicos separados; pueden ser tres servidores virtuales en un servidor físico.

Hay algo de espacio para el debate en la norma. Separar la web y la base de datos es prácticamente no negociable. Pero si el correo electrónico es una función menor, por ejemplo, el servidor web solo lo usa para enviar la notificación de correo electrónico impar, entonces puede justificar la combinación de eso con el servidor web. Si fuera grande, su QSA lo guiaría en este tema, pero dado su tamaño, espero que esté en una autoevaluación.

score 3 · Answer 2

Sí, esto es malo.

Una aplicación primaria por servidor significaría que, dadas las funciones que ha enumerado, tendría tres servidores. Un servidor web, un servidor de correo, un servidor de base de datos. De hecho, dado que se encuentra en un entorno PCI y suponiendo que está almacenando datos PCI en la base de datos, la base de datos no puede estar en un sistema que pueda comunicarse directamente con Internet. Obviamente, además del requisito de una sola función, esto evita colocar la base de datos en un servidor web o de correo.

Un servidor web puede tener syslog, ssh y otros servicios en ejecución ... Estos servicios están ahí porque el servicio principal, el servicio web, los requiere, además de los requisitos de registro y administración para la organización.

Una excelente manera de averiguar si está cumpliendo con este requisito es hacerse esta pregunta: "Si eliminara este servicio de aquí y lo instalé en otro sistema en el medio ambiente, ¿podría este sistema alcanzar sus objetivos?" Si la respuesta es afirmativa, entonces ese servicio debe ser retirado del servidor.

Espero que esto ayude!

score 2 · Answer 3

Para el escenario que ha descrito en su pregunta y comentarios, estaría completando la autoevaluación de PCI-DSS v3 SAQ A-EP . Parece algo injusto si no está mal pensado que se requiere un formulario de 46 páginas, incluso cuando, como en su caso, el entorno completo de datos del titular de la tarjeta está subcontratado y todo lo que hace es redirigir a los clientes al sitio web de la empresa de aceptación de pagos para realizar el pago y recibir algunos tipo de confirmación o mensaje de error a través de una API desde su sitio web hasta su. Sin embargo, es lo que es.

Sin consultar con un QSA no pude confirmar si sería aceptable, pero para mí la mayoría de las preguntas quedaría fuera del alcance debido a que se refieren al entorno de datos del titular de la tarjeta y la protección de los datos del titular de la tarjeta, por lo que secciones completas de la SAQ podrían ser respondido con N / A.

Para el requisito 2 (no utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad): esto incluiría el entorno de alojamiento y, por lo tanto, deberá solicitar ayuda a su proveedor de alojamiento para completar Esta sección, pero también incluiría cualquier software de aplicación que haya instalado en su espacio de disco designado, como software de comercio electrónico como PrestaShop, Magento, etc. y cualquier otra aplicación instalada como WordPress, etc.

Personalmente, probablemente elegiría N / A para 2.2.1 cuando pregunta acerca de una función principal por servidor debido a que el entorno de alojamiento está fuera del alcance del entorno de datos del titular de la tarjeta y está completamente separado de Los sistemas del proveedor de aceptación de pagos subcontratados. Esto podría ser un punto de controversia y es posible que deba consultar a su QSA sobre este punto.

Sin duda, me gustaría conocer los comentarios de tu QSA si lo publicaras aquí después de preguntarles.

Editar el 01-feb-2015:

Solo para aclarar más, después de haber comprobado con PCI-DSS SSC, todo se reduce a si su sitio web contiene alguna página de pago. Si su sitio web tiene, literalmente, un sistema de carrito y un botón de pago y luego el usuario es redirigido a un proveedor de aceptación de pagos de terceros, donde ingresan los detalles de la tarjeta, etc., o lo mismo se logra al integrar esto en un <iframe> , entonces puede usar %código%. Si está incrustando en un SAQ A o capturando datos del titular de la tarjeta directamente en su sitio web utilizando elementos de formulario HTML, o cualquier elemento de plantilla para mejorar la apariencia de su sitio web, entonces, debido al mayor riesgo de seguridad, <div> ser requerido. También hay un artículo útil que profundiza en las razones de esto en la Preguntas frecuentes sobre los estándares de seguridad PCI .