PCI: prohibir las conexiones directas al Entorno de datos del titular de la tarjeta

Question

PCI: prohibir las conexiones directas al Entorno de datos del titular de la tarjeta

#1 de gowenfawr (5 votos)

2

En PCI 1.3.3 dice:

¿Están prohibidas las conexiones directas para el tráfico entrante o saliente? entre Internet y el entorno de datos del titular de la tarjeta?

Un entorno de datos de titulares de tarjetas (CDE) abarca cualquier dispositivo o servidor que almacena o transfiere datos de titulares de tarjetas. (El Glosario de PCI está disponible aquí )

Con nuestro sistema, un usuario agrega una tarjeta de crédito a través de la web, lo que hace que cada uno de nuestros servidores frontales forme parte del CDE. En mi opinión, esto es una paradoja porque cualquier servidor con el que el usuario tenga una conexión directa siempre se considerará parte del CDE.

¿Alguna pista sobre cómo debo abordar esto?

pci-dss dmz

pregunta Martin Konecny 29.10.2014 - 04:45

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss dmz

Contraseñas largas y funciones de derivación de claves Cifrado mientras esté conectado

score 5 · Accepted Answer

La columna Guidance de PCI DSS 1.3.3 (v3) indica:

El examen de todas las conexiones entrantes y salientes permite Inspección y restricción de tráfico en función de la fuente y / o Dirección de destino, así como la inspección y bloqueo de indeseados. contenido, evitando así el acceso no filtrado entre los no confiables y Entornos de confianza. Esto ayuda a prevenir, por ejemplo, maliciosos. individuos de enviar datos que han obtenido desde dentro de su fuera de la red a un servidor externo no confiable en una red no confiable.

Esto significa que los controles de firewall y los controles de contenido (IDS / IPS, WAF, DLP proxies) deben usarse para limitar el ingreso / egreso de CDE. Permitir el tráfico en a limitado, necesario puertos está bien. Permitir el tráfico amplio en puertos innecesarios no está bien. Permitir el tráfico saliente no regulado que podría permitir a un atacante exfiltrar datos no está bien.

Realmente se reduce a "evitar el acceso sin filtro entre entornos no confiables y de confianza". Le concederé que la redacción no es directamente útil.

(No hay una columna de orientación en PCI DSS v2 , pero el requisito en sí es el mismo, y el El punto principal de agregar una columna de guía con v3 fue proporcionar, um, orientación para aclarar la intención de los requisitos. Por lo tanto, es válida la versión con la que esté trabajando.)