¿Quería saber si puedo seguir siendo compatible con PCI si almaceno el titular de la tarjeta y la información de la PII para varios inquilinos en la misma base de datos? Es decir, ¿tiene un identificador en el nivel de la tabla para identificar al inquilino?
El PCI DSS standard no prohíbe directamente la información compartida del inquilino, por lo que la respuesta más simple es "sí, eso es Cumple con PCI ". La respuesta real es "... siempre que tenga suficientes controles lógicos para evitar que los inquilinos accedan a información que no es de ellos". ¿Tiene una prueba de lápiz de aplicación que demuestre que la información del identificador a nivel de tabla se usa correctamente para particionar el acceso?
Esto se explica más detalladamente en el Apéndice A "Requisitos adicionales de las PCI DSS para los proveedores de alojamiento compartido":
A.1 Protect each entity’s (that is merchant, service provider, or
other entity) hosted environment and data
Esto solo aclara explícitamente que el DSS restringe su capacidad para compartir información de PCI. Es igual de cierto si tiene dos inquilinos en una base de datos como si tuviera dos comerciantes en una instalación de alojamiento compartido, pero no se molestaron en deletrear cada tono de gris en detalle.
En mi experiencia, PCI se preocupa de que los controles estén en su lugar. Las únicas personas que solicitan la separación completa de otros inquilinos son ... inquilinos. Por lo general, los grandes, que sienten que existen para proporcionar una aplicación para ellos. Prefieren pedirle que active una infraestructura diferente a confiar en su capacidad para crear controles lógicos válidos. Es como una cosa arrogante con ciertas grandes compañías.