Algunos de los trabajadores que no son DBA (DEV, fraude, analistas ...) de mi organización necesitan acceso directo a las bases de datos para escribir sus propias consultas.
...
Requisito 8.7 de PCI DSS stats "Solo los administradores de bases de datos tienen la capacidad de acceder directamente o consultar bases de datos"
La forma habitual de manejar esto es crear una versión depurada de la base de datos, con datos PAN y otros datos confidenciales, eliminados o reemplazados. Esta base de datos borrada queda fuera del alcance de PCI y puede ser consultada directamente por las personas que describe.
(Las personas de Fraude pueden necesitar acceso a los datos de PAN para sus trabajos ... pero no pueden usar consultas de forma libre para eso, usted escribe una aplicación que proporciona acceso a los datos en la base de datos real que necesitan a través de consultas preformadas).
Para los desarrolladores y analistas, la versión depurada debe ser suficiente para sus necesidades.
Es posible que también desee considerar la cuestión de la PII. Los analistas de la ciencia de datos necesitan acceso a ese nivel de detalle; los desarrolladores no pueden. Sin embargo, eso está fuera de los requisitos del DSS.
Este método tiene algunos inconvenientes:
- Dependiendo del tamaño de la base de datos de origen, la limpieza puede ser costosa en tiempo y recursos.
- Los índices de la tabla, que se derivan de la cardinalidad de los datos, se alterarán cuando elimine o reemplace las columnas indexadas (como PAN), lo que significa que las mediciones de rendimiento contra la base de datos "borrada" no serán 1: 1 equivalentes a La base de datos "real".