Me gustaría preguntar sobre el primer requisito de PCI DSS, que es crear y mantener una red segura.
¿Se requiere tener un firewall físico o puede ser un ejemplo de software que usa las reglas de iptable del firewall del sistema operativo?
Un firewall físico es solo una computadora conectada a la red que ejecuta un software, por lo que, por supuesto, un firewall implementado en el software es aceptable. No hay otro tipo. Lo que no puede hacer para cumplir con PCI es ejecutar el software de firewall en la misma máquina que cualquiera de los servicios que está protegiendo.
PCI-DSS tiene el concepto de sistemas / procesos / datos / infraestructura dentro y fuera del alcance.
Entonces, si su sistema respeta esos principios, está bien (físico o virtual)
Solo una sugerencia: Azure, AWS, etc. Tiene un estado de cumplimiento con PCI DSS (incluso si no se traduce automáticamente a la certificación PCI DSS para los servicios que los clientes crean o alojan en estas plataformas).
Lea otras preguntas en las etiquetas pci-dss