proveedor de servicios PCI y separación

Navega tus respuestas
4

Esta es una conexión a mi pregunta anterior: Base de datos compartida y cumplimiento de PCI

Sin embargo, esta pregunta se relaciona con el requisito "Apéndice A: Requisitos de PCI DSS adicionales para proveedores de alojamiento compartido".

Si somos un proveedor de servicios, ¿hay algún requisito (o recomendación) para:

  • ¿Mantener la base de datos compartida separada por cliente? es decir, una instancia separada del servicio DB que se ejecuta en un puerto diferente.
  • ¿Hay procesos separados en nuestro servicio donde desciframos datos que puedan contener CHD? por ejemplo. para nuestro primer cliente usamos el puerto 443, para nuestro segundo cliente usamos el puerto 444, etc.

No almacenamos ni procesamos datos de la tarjeta, solo lo desciframos, lo analizamos y luego lo volvemos a cifrar para su transmisión. La base de datos compartida contiene información de configuración para ciertos parámetros de nuestro servicio, pero no es posible que un cliente la configure de tal manera que afecte a otros clientes.

Además, los procesos para nuestro servicio no ejecutan el código del cliente. Es nuestra propia aplicación. Menciono esto como indica la A.1.1:

  

A.1.1 Asegúrese de que cada entidad solo ejecute procesos que tengan acceso al entorno de datos del titular de la tarjeta de esa entidad.

Aunque la guía dice:

  

Si un comerciante o proveedor de servicios tiene permiso para ejecutar sus propias aplicaciones en el servidor compartido, éstas deben ejecutarse con el ID de usuario del comerciante o proveedor de servicios, en lugar de como un usuario privilegiado

Como nuestras aplicaciones ejecutan solo nuestro código (no cualquier código de nuestros clientes), ¿cómo afecta esto a la interpretación de A.1.1? La definición en el procedimiento de prueba es:

  

Si un proveedor de alojamiento compartido permite que las entidades (por ejemplo, comerciantes o proveedores de servicios) ejecuten sus propias aplicaciones, verifique que estos procesos de la aplicación se ejecuten utilizando la ID única de la entidad.

y mi interpretación fue que el código en ejecución no era una "aplicación propia" de un comerciante, sin embargo, nuestro QSA cree que este requisito se aplica.

Mi pregunta se compone de las dos preguntas estrechamente relacionadas anteriores (en negrita) relacionadas con la cantidad de separación requerida.

    
pregunta SilverlightFox 12.11.2014 - 10:53
fuente

2 respuestas

1

Estoy de acuerdo con AndyMac en que, de hecho, no eres un proveedor de alojamiento compartido, solo estás ofreciendo una plataforma, por lo que creo que tu QSA está equivocado. Entonces, ¿qué haces si no estás seguro de su opinión? ¡Entonces obtienes una segunda opinión donde explicas tus preocupaciones! Asegúrese de desafiar a su QSA primero para explicar por qué cree que usted es un proveedor de alojamiento compartido, aunque no esté ejecutando el código de sus clientes sino el suyo propio.

Pero recuerde que PCI-DSS se trata de implementar una línea de base de seguridad. Ahora puede hacerlo usted mismo realmente complejo y comenzar a crear una compleja segregación de red e implementar procesos separados, etc. En mi opinión, lo que debe hacer es usar un sistema en el que cree un sistema operativo con su aplicación + base de datos separada y solo despliegue uno por Cliente en una zona de confianza aislada. Luego, puede reenviar desde una IP dedicada por puerto o si la ejecuta a través de una VPN, solo proporcione conectividad 1 a 1 para una determinada dirección IP basada en las credenciales de inicio de sesión.

    
respondido por el Lucas Kauffman 05.12.2014 - 08:36
fuente
1

Vamos a dividirlo en una vista lógica de lo que dice que está haciendo sin perderse entre las malas hierbas en la definición de proveedor de servicios, proveedor de alojamiento, Nivel 1, Nivel 2, etc. Usted declara:

  

"No almacenamos ni procesamos datos de la tarjeta, solo los desciframos, los analizamos   y luego volver a cifrarlo para su transmisión ".

Si bien no puede ser PROCESSOR , está poniendo los datos en un proceso (descifrando, luego analizando y luego cifrando). ¿Cómo funciona este proceso? Por ejemplo, ¿cómo llegan los datos a usted para que pueda realizar lo que necesita hacer?

Lo que PCI está buscando principalmente es una prueba de que cuando los datos se PROCESAN (van de un lugar a otro, ya sea que se almacenen o no), se hace de manera segura. Cuando menciona "solo lo desciframos, analícelo", una función (proceso) está ocurriendo en algún lugar de un sistema. ¿Cómo ocurre esto, se almacenan los datos en algún lugar? La realidad es que tendría que hacerlo. Ya sea que esté en la memoria, en un archivo temporal, en algún momento necesitará la salida desencriptada (datos CC) para analizarla. Incluso si durante una fracción de segundo, necesita documentar lo que ocurre, cómo ocurre y cómo se segmenta esto para que no se divulgue.

    
respondido por el munkeyoto 05.12.2014 - 20:11
fuente

Lea otras preguntas en las etiquetas

Usar + para las direcciones de correo electrónico para averiguar quién está vendiendo sus datos: ¿es ingenuo o efectivo? ADFS 3.0 OAuth2.0 contra aplicaciones cliente