¿Cómo interpreto el punto 2.2.1 para PCI-DSS? ¿El "servidor de aplicaciones" es "una función principal" o debe ser "programx server", "program and server", etc.?
Tengo una colección de aplicaciones que ejecutan el lado del servidor dentro de mi entorno. Algunos de estos interactúan indirectamente con la aplicación en la que se encuentran los datos del titular de la tarjeta, otros no. Estas aplicaciones también tienen diferentes roles de grupos y permisos asignados dentro de ellos y sirven a diferentes departamentos.
2.2.1 Implemente solo una función principal por servidor para evitar que las funciones que requieren diferentes niveles de seguridad coexistan en el mismo servidor (Por ejemplo, servidores web, servidores de bases de datos y DNS debe implementarse en servidores separados.)
Por ejemplo:
Una base de datos, que debe contar con medidas de seguridad sólidas, podría correr el riesgo de compartir un servidor con una aplicación web, que debe estar abierta y orientarse directamente a Internet. Si no se aplica un parche a una función aparentemente menor, se puede llegar a un compromiso que afecta otras funciones más importantes (como una base de datos) en el mismo servidor.
Este requisito está destinado a todos los servidores dentro del entorno de datos del titular de la tarjeta (generalmente basado en Unix, Linux o Windows). Es posible que este requisito no se aplique a los sistemas que tienen la capacidad de implementar de forma nativa los niveles de seguridad en un solo servidor (por ejemplo, mainframe).