Esta es una conexión a mi pregunta anterior: Base de datos compartida y cumplimiento de PCI
Sin embargo, esta pregunta se relaciona con el requisito "Apéndice A: Requisitos de PCI DSS adicionales para proveedores de alojamiento compartido".
Si somos un proveedor de servicios, ¿hay algún requisito (o recomendación) para:
- ¿Mantener la base de datos compartida separada por cliente? es decir, una instancia separada del servicio DB que se ejecuta en un puerto diferente.
- ¿Hay procesos separados en nuestro servicio donde desciframos datos que puedan contener CHD? por ejemplo. para nuestro primer cliente usamos el puerto 443, para nuestro segundo cliente usamos el puerto 444, etc.
No almacenamos ni procesamos datos de la tarjeta, solo lo desciframos, lo analizamos y luego lo volvemos a cifrar para su transmisión. La base de datos compartida contiene información de configuración para ciertos parámetros de nuestro servicio, pero no es posible que un cliente la configure de tal manera que afecte a otros clientes.
Además, los procesos para nuestro servicio no ejecutan el código del cliente. Es nuestra propia aplicación. Menciono esto como indica la A.1.1:
A.1.1 Asegúrese de que cada entidad solo ejecute procesos que tengan acceso al entorno de datos del titular de la tarjeta de esa entidad.
Aunque la guía dice:
Si un comerciante o proveedor de servicios tiene permiso para ejecutar sus propias aplicaciones en el servidor compartido, éstas deben ejecutarse con el ID de usuario del comerciante o proveedor de servicios, en lugar de como un usuario privilegiado
Como nuestras aplicaciones ejecutan solo nuestro código (no cualquier código de nuestros clientes), ¿cómo afecta esto a la interpretación de A.1.1? La definición en el procedimiento de prueba es:
Si un proveedor de alojamiento compartido permite que las entidades (por ejemplo, comerciantes o proveedores de servicios) ejecuten sus propias aplicaciones, verifique que estos procesos de la aplicación se ejecuten utilizando la ID única de la entidad.
y mi interpretación fue que el código en ejecución no era una "aplicación propia" de un comerciante, sin embargo, nuestro QSA cree que este requisito se aplica.
Mi pregunta se compone de las dos preguntas estrechamente relacionadas anteriores (en negrita) relacionadas con la cantidad de separación requerida.