PCI DSS para servidores web que no almacenan información de la tarjeta de crédito

Navega tus respuestas
1

Planeo implementar nuestro nuevo sitio web de la compañía en un servidor dedicado a través de un proveedor de alojamiento. Mantendré personalmente el servidor con la excepción de tratar con el hardware físico. La propia compañía posee información de tarjeta de crédito a través de llamadas telefónicas y otros medios, por lo que estamos sujetos al cumplimiento de PCI. Sin embargo, este nuevo sitio web, que no está en la red privada de la compañía, tiene una exposición limitada, si no ausente, a los datos confidenciales de los titulares de tarjetas. Utilizaremos 2 métodos de pago en línea:

Payal Express (Totalmente de terceros, no hay datos confidenciales disponibles)

Publicación directa de Authorize.net (el formulario de la tarjeta de crédito se genera en nuestro sitio, pero se envía directamente a Authorize.net. Solo una infracción grave e inadvertida hará que esta información esté disponible para mi servidor).

Con esta configuración, la base de datos y el servidor web no ven ningún punto de la tarjeta de crédito, lo que me lleva al requisito 2.2.1 de PCI DSS:

  

Implemente solo una función primaria por servidor para prevenir funciones   que requieren diferentes niveles de seguridad de coexistir en el mismo   servidor. (Por ejemplo, los servidores web, servidores de base de datos y DNS deben estar   implementado en servidores separados.)

Mi esperanza es que debido a que la base de datos no tiene datos confidenciales (y, de hecho, podría ser una base de datos de todos mis colores y películas favoritas), entonces no se considera un "nivel de seguridad diferente". Mi opinión es que este requisito se aplicaría a empresas más grandes que albergan diversos servicios y aplicaciones, donde separar los dos es bastante lógico. ¿Alguien puede aclarar esta regla según mi situación, o dar alguna opinión? Me resulta difícil creer que cada VPS o servidor dedicado con la pila LAMP instalada (ya que todas las soluciones administradas "compatibles con PCI" dijeron que estarían felices de configurar para nosotros) están fuera de cumplimiento. Como mínimo, ¿es esta una situación en la que podrían aplicarse excepciones especiales?

Además, el servidor está bloqueado con un firewall de software, TLS 1.1 y superior, restricciones de IP, almacenamiento y monitoreo de registros, verificación de integridad de archivos, malware y escáneres de red, etc. En general, me gustaría evitar el costo y la complejidad de un servidor separado para simplemente marcar una casilla.

    
pregunta AirmanAJK 21.01.2017 - 03:46
fuente

2 respuestas

1

El requisito es que cada servidor tenga una función primaria en lugar de una sola función. Puede argumentar que la función principal del servidor es como un servidor web y la funcionalidad de la base de datos es una función secundaria. Considere un controlador de dominio que puede ser un servidor DHCP, servidor NTP, servidor DNS, servidor de autenticación, servidor de políticas de seguridad.

En términos de niveles de seguridad para el cumplimiento de PCI, dado que la base de datos no almacena datos del titular de la tarjeta, no hay ningún requisito para que este sea un servidor separado en un segmento de red interna. Como el servidor en sí mismo está dentro del alcance, todo lo que está en el servidor está dentro del alcance, por lo que la base de datos aún debe ser reforzada y registrada, por lo que todavía está protegiendo el sistema y mitigando el riesgo.

Si tiene un QSA, él / ella debería poder brindarle orientación.

    
respondido por el AndyMac 21.04.2017 - 17:09
fuente
0

pci tiene muchos estándares para el comerciante [ejecute el sitio web de comercio electrónico] y el proveedor de servicios [paypal].
solo tiene que seguir SAQ A puede descargar el pdf desde pcisecuritystandards.org
ps: SAQ A - Comerciantes de tarjeta no presente, todas las funciones de datos del titular de la tarjeta completamente Subcontratado
así que no todas las normas se aplican a usted, creo que solo las 14 Q las encontrará en la saq A y no necesita ningún proveedor de escaneo autorizado (ASV) para escanear su sistema.
Siéntase libre de hacer preguntas adicionales si eso sería útil para usted.

    
respondido por el Ahmed Mohamed 21.01.2017 - 04:21
fuente

Lea otras preguntas en las etiquetas

¿Hay una regla de oro para el tiempo mínimo para una función de hashing de contraseña? ¿Cómo se pondría en peligro una dirección mac?