Acceso directo a las bases de datos

22

Algunos de los trabajadores que no pertenecen a DBA, como Desarrolladores (para el manejo de crisis), Fraude (solo con permisos de lectura) son analistas (solo con permisos de lectura) y algunos más necesitan acceso directo a las bases de datos para escribir sus propias consultas. No puedo reducir los permisos y son aprobados por la gerencia. Cada vez que necesitan una consulta diferente y no puedo limitarlos a métodos programáticos precompilados.

Requisito 8.7.b de PCI DSS PCI "solo los administradores de bases de datos tienen la capacidad de acceder directamente o consultar bases de datos"

¿Cómo puedo cumplir con este requisito? ¿Hay algún control de compensación relevante que puedas sugerir?

    
pregunta BokerTov 28.09.2016 - 13:36
fuente

3 respuestas

33
  

Algunos de los trabajadores que no son DBA (DEV, fraude, analistas ...) de mi organización necesitan acceso directo a las bases de datos para escribir sus propias consultas.

...

  

Requisito 8.7 de PCI DSS stats "Solo los administradores de bases de datos tienen la capacidad de acceder directamente o consultar bases de datos"

La forma habitual de manejar esto es crear una versión depurada de la base de datos, con datos PAN y otros datos confidenciales, eliminados o reemplazados. Esta base de datos borrada queda fuera del alcance de PCI y puede ser consultada directamente por las personas que describe.

(Las personas de Fraude pueden necesitar acceso a los datos de PAN para sus trabajos ... pero no pueden usar consultas de forma libre para eso, usted escribe una aplicación que proporciona acceso a los datos en la base de datos real que necesitan a través de consultas preformadas).

Para los desarrolladores y analistas, la versión depurada debe ser suficiente para sus necesidades.

Es posible que también desee considerar la cuestión de la PII. Los analistas de la ciencia de datos necesitan acceso a ese nivel de detalle; los desarrolladores no pueden. Sin embargo, eso está fuera de los requisitos del DSS.

Este método tiene algunos inconvenientes:

  1. Dependiendo del tamaño de la base de datos de origen, la limpieza puede ser costosa en tiempo y recursos.
  2. Los índices de la tabla, que se derivan de la cardinalidad de los datos, se alterarán cuando elimine o reemplace las columnas indexadas (como PAN), lo que significa que las mediciones de rendimiento contra la base de datos "borrada" no serán 1: 1 equivalentes a La base de datos "real".
respondido por el gowenfawr 28.09.2016 - 14:12
fuente
9

AFAIK, no puedes. Si desea ser compatible con el PCI DSS, ni los desarrolladores ni los analistas deben acceder directamente a la base de datos de producción.

Una vez dicho esto, debe preguntarse por qué necesitan acceso directo a la base de datos production . Los desarrolladores normalmente deben ser satisfechos por una base de datos de desarrollo que contenga datos falsos, siempre que el tamaño sea coherente para las pruebas de rendimiento. Un analista debe tener extractos de la base de datos de prod en una base privada para realizar sus consultas. Incluso podría preguntarse si una solución de BI no sería una forma posible aquí: base de datos Prod - > ETL - > Base de datos de BI

De hecho, es más complejo que permitir accesos directos, pero la seguridad (y las certificaciones ...) solo tienen un costo

    
respondido por el Serge Ballesta 28.09.2016 - 15:24
fuente
-1

Acabo de buscar PCI (industria de tarjetas de pago)
OK tienes algunos datos confidenciales

El puerto de la base de datos (por ejemplo, 1433) ni siquiera debería estar abierto al mundo exterior

No creo que darles acceso de solo lectura a una vista satisfaga el reglamento

Intentaría darles una aplicación con búsqueda facetada sólida donde solo se utilizan consultas parametrizadas.

Es posible que quieran acceso directo, pero eso significa que lo van a obtener.

Lo que hago es tener una tabla de vistas que pueden ejecutar. Creo la Vista y pongo el nombre en la tabla con una descripción. La aplicación leerá la tabla por lo que ahora es solo un nuevo informe que pueden ejecutar. No ejecutan la Vista directamente: la aplicación ejecuta la vista e informa los resultados. Pero de alguna manera estás lanzando directamente a Dev, así que es algo peligroso.

    
respondido por el paparazzo 28.09.2016 - 19:43
fuente

Lea otras preguntas en las etiquetas