PCI-DSS: ¿una aplicación por servidor?

Básicamente, lo que dice el requisito es que debe asignar una función principal por servidor.

El servidor que ha descrito suena como si ejecutara algunas aplicaciones para que lo utilicen los usuarios de producción. Esto sería clasificado como un servidor de "aplicación". Sin embargo, también mencionó que hay varias aplicaciones en ese servidor, algunas tocan el CDE indirectamente y otras no. Si bien se considera que este servidor tiene una función principal, incluye los controles de las aplicaciones que no tocan el CDE.

Si fuera yo, movería las aplicaciones que no interactúan con el CDE fuera de esa caja y las movería a un servidor diferente, en un segmento diferente, si es posible. Si no tiene una red segmentada (lo que realmente debería hacer) entonces, de todos modos, todo está dentro del alcance, por lo que este consejo no importa.

La única cuestión del cumplimiento de PCI-DSS es la siguiente:

  

Usted es compatible con PCI-DSS si su QSA dice que es compatible con PSI-DSS.

Soy de la opinión de que el consejo de PCI hizo un trabajo bastante apestoso al darnos un estándar muy claro y puntual a seguir, al menos en lo que respecta a los estándares. Dicho esto, este es uno de esos casos interesantes donde el requisito parece estar ligeramente fuera de sintonía con la intención.

Tome el texto literal del requisito:

  

2.2.1 Implemente solo una función principal por servidor para evitar que las funciones que requieren diferentes niveles de seguridad coexistan en el mismo servidor. (Por ejemplo, los servidores web, los servidores de bases de datos y DNS deben implementarse en servidores separados).

Eso allí mismo dice, la función principal que podría abrirle algunos desacuerdos. Se podría decir que el propósito principal de un servidor determinado es almacenar la base de datos para el procesador, mientras que también está configurado para ejecutar el motor de informes como una función secundaria.

El Consejo también produce otro documento llamado "Navegando por el PCI DSS v2.0", disponible para descargar en la misma ubicación que el estándar. Este documento presenta un detalle mucho mayor sobre cada requisito e intenta explicar la intención detrás de ellos.

  

El objetivo es garantizar que los estándares de configuración del sistema de su organización y los procesos relacionados aborden las funciones del servidor que deben tener diferentes niveles de seguridad, o que pueden introducir debilidades de seguridad a otras funciones en el mismo servidor.

Ok, cool, me gusta eso. Nos dice que están tratando de segregar en función del nivel de seguridad de los datos en cuestión. Por lo tanto, en teoría , si tiene una aplicación web que permite el acceso directo a la base de datos que contiene los datos del titular de la tarjeta, y las únicas personas que tienen acceso a esa sensibilidad más alta de los datos tener acceso a la aplicación web, uno podría ser capaz de alojarlos en el mismo sistema mientras se mantiene el cumplimiento. Sin embargo, si existe una herramienta de informes que proporciona datos estadísticos sobre las transacciones, pero no los datos del titular de la tarjeta en sí, ¿y un conjunto diferente de personas tienen acceso a ellos? Sí, vas a querer dividir eso.

Es muy probable que lo último que quieras hacer, sin embargo, es cortar los pelos en trozos cada vez más pequeños con tu QSA. Así que la opinión típica es:

La información proporcionada anteriormente no debe tomarse como un consejo oficial y se proporciona sin orden judicial, garantía, buena fe o consumo adecuado de café por la mañana. Las declaraciones proporcionadas no representan las opiniones del consejo de PCI, ningún QSA / ASV, mi empleador, su empleador, este sitio, ningún otro sitio, ni el ISP en el que está viendo este mensaje.

Dado que PCI no se aplica a una aplicación específica, sino a un entorno completo , se podría decir que considera todas las aplicaciones como partes del mismo sistema.

Es decir, la capa del servidor de aplicaciones es una "función primaria única", para todas las partes del sistema (es decir, las aplicaciones), independientemente de la cantidad que haya, asumiendo que todas son parte del sistema aplicable y todas En el mismo nivel de confianza.

Entonces, si tiene algunas aplicaciones internas, o por ejemplo, su sitio web público, que no tiene nada que ver con las tarjetas de crédito, debe moverlas a un entorno diferente (es decir, servidor, red, etc.) De lo contrario, en el mejor de los casos, estarían dentro del alcance de los requisitos de PCI, y no desea ese. En el peor de los casos, no cumplirías con este requisito.

Dicho esto, TENGA EN CUENTA que debe consultar con su QSA de todos modos . Usted necesitaría que él / ella lo aprobara, y aún hay espacio para la interpretación en función de su contexto específico.

  

¿El "servidor de aplicaciones" es "una función principal" o debe ser "program x server", "program and server", etc.?

Eso es para una interpretación basada en qué tan relacionados y similares son los programas X e Y. Este tipo de pregunta tiende hacia un área gris donde los QSA difieren y usted está buscando controles compensatorios.

Pero mire la intención de la regla: quiere que mantenga separados los diferentes 'niveles de seguridad'.

Entonces, si tiene un montón de aplicaciones que hablan todas con los mismos servicios web o base de datos (en otro servidor con sus propios controles) usando las mismas credenciales, podría tener sentido considerarlas como una función. Si un atacante comprometió el programa X y eso les permitió comprometer el programa Y que estaba en el mismo servidor, ¿les ofrece algo que no tenían ya al comprometer el programa X?

  

Estas aplicaciones también tienen diferentes roles de grupos y permisos asignados dentro de ellas y sirven a diferentes departamentos.

Esto hace que parezca que realmente tiene diferentes funciones y diferentes niveles de seguridad en el servidor.

  

Algunos de estos interactúan indirectamente con la aplicación en la que se encuentran los datos del titular de la tarjeta, otros no.

¿Cuál es la naturaleza de la interacción indirecta? Si la interacción pasa por una puerta de enlace (algo que actúa como un punto de control efectivo) que no está en el CDE, puede mantener el servidor fuera del alcance de PCI por completo.

Si no puede evitar que el servidor esté dentro del alcance, le recomiendo que mueva las aplicaciones que no necesitan interactuar con el CDE a otro servidor que no esté dentro del alcance.