¿Precedente para un servidor interno de información de titulares de tarjetas?

0

Mi organización está emprendiendo un proyecto para intentar reducir la cantidad de nuestra infraestructura cubierta por el alcance de PCI. Específicamente, buscamos excluir nuestro software de comercialización web del alcance PCI.

Por supuesto, para que esto suceda, tendremos que asegurarnos de que los servidores de la aplicación nunca obtengan información del titular de la tarjeta y que los servidores de la aplicación nunca se conecten a nada en el CDE. >

Hemos hablado con nuestro QSA al respecto y mencionó que muchas organizaciones hacen precisamente eso. Pero por mucho que busquen en Google, puedo encontrar poca evidencia adicional de esto, y mucho menos acerca de las mejores prácticas al emprender un proyecto de este tipo.

¿Es esta (incluso de forma remota) una forma adecuada de abordar el problema? ¿Qué debo saber al entrar en un proyecto como este? Y, ¿quién más ha escrito sobre el tema y qué buscaría en Google para encontrar más información?

Gracias de antemano.

    
pregunta user1483512 14.12.2012 - 22:27
fuente

1 respuesta

1

No tengo ningún recurso específico al que apuntar porque, para bien o para mal, el consejo de PCI por lo general apunta a los QSA en lugar de intentar cubrir cada escenario que una organización encuentra.

Su QSA es responsable de determinar exactamente lo que necesita hacer para segmentar adecuadamente otras aplicaciones que desea mantener fuera del alcance. La segmentación generalmente requiere colocar el sistema en diferentes subredes con un firewall en medio. La medida en que los flujos de datos entre las subredes deben restringirse entre las dos redes es una buena discusión para tener con su QSA.

Como QSA, no estoy de acuerdo con su declaración de que sus servidores de aplicaciones "no pueden conectarse a nada en el CDE". Mi interpretación es que el tráfico debe estar muy limitado y tener una fuerte necesidad comercial. El DSS utiliza una red plana como ejemplo de no segmentación, donde no hay control de acceso entre dos redes en absoluto. Por otro lado, utiliza el ejemplo de "enrutadores con fuertes listas de control de acceso" como ejemplo de segmentación de red.

Si bien es probable que el tráfico entrante requiera cierta información de su QSA, el tráfico saliente es un poco más flexible. Si puede estructurar su red de manera que las conexiones se inicien desde dentro del CDE y salgan a través del firewall, tendrá una seguridad mucho mejor y un tiempo mucho más fácil para justificar el tráfico.

Sólo mis pensamientos.

    
respondido por el freb 15.12.2012 - 03:34
fuente

Lea otras preguntas en las etiquetas