Base de datos compartida y conformidad con PCI

Navega tus respuestas
1

Digamos que tenemos una aplicación web basada en la nube que es SaaS. Esta aplicación debe ser compatible con PCI como proveedor de servicios, ya que los datos de la tarjeta del cliente pasan a través de la aplicación. Esta aplicación utiliza una base de datos para su información de configuración.

Tenga en cuenta que la base de datos solo contiene información de configuración. Aquí no se almacenan los datos personales ni el titular de la tarjeta Sin embargo, también tenemos un portal de administración al que acceden los clientes. Los clientes pueden iniciar sesión en el portal de administración y cambiar su configuración que se guarda en la base de datos compartida.

Así que tenemos:

Application --> Shared DB <-- Management Portal <-- Client access

¿Es posible que Shared DB y Management Portal estén fuera del alcance si están en una red separada, lo que hace que el CDE sea solo Application ?

Desde el estándar PCI v3:

  

A un alto nivel, la segmentación de red adecuada aísla los sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas de aquellos que no lo hacen.

¿Parece que lo anterior se adhiere a esta recomendación?

    
pregunta SilverlightFox 24.10.2014 - 18:53
fuente

2 respuestas

2

El enlace de comunicación entre la aplicación y la base de datos es el problema. Si la aplicación es lo que usted considera su CDE, entonces la base de datos estará dentro del alcance porque está conectada a la aplicación. Dependiendo de sus controles de acceso y otros controles de seguridad para la segmentación, es posible que pueda eliminar el portal de administración del alcance (suponiendo que se encuentre en un segmento de red diferente de esa aplicación. Esto también depende de su QSA y lo que aceptarán.

Hay tres cosas a considerar al evaluar la segmentación para PCI:

  1. Si un sistema almacena, procesa o transmite datos del Titular de la tarjeta
  2. Si un sistema tiene o no acceso a un sistema que almacena, procesa o transmite datos de titulares de tarjetas
  3. Si un sistema puede afectar o no la seguridad del CDE

Un sistema solo puede ser excluido del alcance de una evaluación de PCI confirmando que los 3 criterios anteriores son falsos.

    
respondido por el Timee 25.10.2014 - 02:21
fuente
0

IANAQSA

No, no creo que puedas lograr la separación que estás buscando. La cita de PCI v3 que ha proporcionado describe el uso de segmentación de red adecuada para aislar los sistemas. Sin embargo, lo que realmente está preguntando es si puede aislar la base de datos compartida (detalles de la tarjeta) de la base de datos compartida (configuración). Y la respuesta es no, no puedes, porque están ... ah ... Compartidos. No hay una capa de aislamiento significativa entre una base de datos y ella misma. Incluso si está hablando de instancias separadas en el mismo DBMS, espero que la mayoría de los QSA los consideren inseparables.

Probablemente pueda mantener el acceso de clientes fuera del alcance, pero incluso con la segmentación de la red entre Management Portal y Shared DB, será difícil mantener a Management Portal fuera del alcance porque Shared DB (configuración) está contaminada por Shared DB ( detalles de la tarjeta).

    
respondido por el gowenfawr 24.10.2014 - 19:00
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguras son las redes virtuales [duplicadas] ¿Puede Facebook iniciar sesión en mi aplicación?