PCI DSS: un servidor, una función principal (diferentes motores de base de datos)

Question

PCI DSS: un servidor, una función principal (diferentes motores de base de datos)

#1 de crovers (1 votos)

1

Observé algunas otras preguntas similares a las mías, pero todas hablan de web / email / database en el mismo servidor. Mi pregunta es un poco diferente. Mi negocio usa SQL Server 2008 como su red troncal y .Net para el front-end. Estamos externalizando un rediseño a nuestro sitio web y las personas de outsourcing quieren construir esto utilizando WordPress. Las personas que están construyendo esto no saben cómo conectarlo a SQL Server 20XX (aunque he visto artículos que dicen que puede, pero tampoco sé cómo hacerlo, así que no puedo lanzarle piedras). ) y tendrá que instalar MySQL.

Entonces, mi pregunta es, ¿está bien que SQL Server 20XX y MySQL se ejecuten en el mismo servidor o esto rompe la regla de un servidor?

pci-dss databases .net wordpress

pregunta Kakoroat 13.10.2016 - 21:42

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss databases .net wordpress

¿Abrir puertos en la red del invitado de mi enrutador? Necesita ayuda para detectar una falla o vulnerabilidad en una red

score 1 · Answer 1

La guía en DSS 3.2 al menos es "Si las funciones del servidor que necesitan diferentes niveles de seguridad se encuentren en el mismo servidor, el nivel de seguridad de las funciones con mayores necesidades de seguridad se reduciría debido a la presencia de las funciones de menor seguridad. Además, las funciones del servidor con un nivel de seguridad más bajo pueden introducir debilidades de seguridad a otras funciones en el mismo servidor. Al considerar las necesidades de seguridad de las diferentes funciones del servidor como parte de los estándares de configuración del sistema y los procesos relacionados, las organizaciones pueden garantizar que las funciones requieren diferentes los niveles de seguridad no coexisten en el mismo servidor ".

Examinaría los datos que entran en cada uno. Si es comparable, puede estar bien. Sin embargo, si los datos de WordPress (mysql) son de baja seguridad y los datos de SQL Server no lo son, sería muy difícil argumentar que está dentro de esta guía, en mi opinión (no es un QSA)

Creo que lo pondría en un servidor separado solo por principios generales. Si están en el mismo servidor, haga su mejor esfuerzo para separarlos; ejecútelos como usuarios diferentes, por ejemplo, haga lo mejor para limitar lo que la base de datos mysql podría hacer al sistema o la base de datos de SQL Server.