PCI DSS requisito 6.4.2 separación de tareas entre los entornos de desarrollo / prueba

Por supuesto, siempre es más inteligente aceptar los juicios de su QSA al realizar juicios de juicio, sin embargo, durante su propio trabajo de cumplimiento interno, recomiendo consultar Navegación de PCI-DSS: Comprensión del documento Intento de los requisitos cuando se confunde con un requisito.

Mirando la página 32 de ese documento, vemos el siguiente artículo sobre el requisito 6.4.2

  

Reduciendo el número de personal con acceso a la producción.   El entorno y los datos del titular de la tarjeta minimizan el riesgo y ayudan a garantizar que   el acceso está limitado a aquellas personas con una necesidad comercial que deben conocer.

     

La intención de este requisito es asegurar que el desarrollo / prueba   Las funciones están separadas de las funciones de producción. Por ejemplo, un   desarrollador puede utilizar una cuenta de nivel de administrador con elevado   privilegios para su uso en el entorno de desarrollo, y tienen una   Cuenta con acceso de nivel de usuario al entorno de producción.

     

En entornos donde una persona realiza múltiples roles (por ejemplo,   Desarrollo de aplicaciones e implementación de actualizaciones a producción.   sistemas), las tareas deben asignarse de tal manera que ninguna persona haya   Control de extremo a extremo de un proceso sin un punto de control independiente. por   Ejemplo, asignar responsabilidad para el desarrollo, autorización y   monitoreo para separar individuos.

Entonces, por la lectura más estricta, entonces sí. Los desarrolladores tienen acceso al sistema de desarrollo y pueden tener acceso de rol de usuario a la producción, pero un individuo por separado realizará las instalaciones / administración de la aplicación y la administración del sistema del entorno de producción. El verdadero propósito de todo esto, como se discutió en el último párrafo, es que no hay una sola persona que tenga un control administrativo de extremo a extremo del servicio. Lo que quieren son varias personas con visibilidad en el proceso para que ninguna persona pueda hacer cambios en el desarrollo y convertirlos en producción sin cuestionarlos.

Por lo tanto, siempre que sea posible, el consejo oficial se resumirá mejor con una foto.

Sin embargo, en la práctica seria, necesita descubrir la mejor manera de administrar esa auditoría y / o segregación, al mismo tiempo que documenta sus procesos y, eventualmente, su QSA los maneja adecuadamente.

PCI-DSS es un conjunto de reglas excepcionalmente amplio (e interpretativo), por lo que esta respuesta probablemente sea mejor respondida por un QSA (para cualquier otra cosa que no sea opinión / herejía).

Sin embargo, nuestra interpretación es tal que los entornos deben estar separados, pero no necesariamente en hardware físicamente separado. El uso de VPS / virtualización es una excelente manera de crear particiones seguras en un servidor físico y mantener el cumplimiento de PCI sin caer bajo la regla "una máquina para cada función".

Aquí está el problema con este artículo en particular. Cuando se evalúa solo con la redacción, parece claro que se requieren diferentes personas para diferentes entornos. Sin embargo, una gran cantidad de compañías y QSA incluso creen que este es un camino de una sola vía. Si tiene acceso al desarrollo y hace el desarrollo, entonces no debería tener acceso a la producción.

El problema con esto es que las personas con acceso a la producción tampoco deberían tener acceso al desarrollo. Con el acceso a los entornos de desarrollo, podrían aplicar ingeniería inversa a cualquier medida de seguridad que se aplique para proteger los datos en el entorno. Así que mirando el modelo de Código y Datos, debe separar los dos en todos los niveles. Los que tienen acceso al código no deben tener acceso a los datos y los que tienen acceso a los datos no deben tener acceso al código. Los entornos de desarrollo deben estar separados de las operaciones de otras compañías. Los DBA de producción no deben tener acceso ni control sobre los DB de desarrollo.