Desafortunadamente, como se dijo anteriormente, la respuesta es "No"
Para lograr el cumplimiento total de PCI, debe cumplir con muchos requisitos muy específicos.
La lista completa se puede encontrar aquí:
enlace
Algunos de estos requisitos se relacionan con la forma en que administra sus servidores, otros hablan de la distribución de roles internos, etc.
Por ejemplo, la sección 9.1.1 dice:
"Use cámaras de video y / o mecanismos de control de acceso para monitorear el acceso físico individual a áreas sensibles. Revise los datos recopilados y correlacione con otras entradas. Almacene durante al menos tres meses, a menos que sea diferente
restringido por la ley ". [esto obviamente habla de servicios de acceso]
Elijo centrarme en esta sección para mostrar que la complicidad de PCI no es un problema "puramente técnico".
Habiendo dicho eso, en un sitio técnico, probablemente querrá tomar nota de la sección 6.6 que requiere uno de los siguientes:
- Revisar las aplicaciones web de orientación pública mediante manual o automatizado
herramientas o métodos de evaluación de seguridad de vulnerabilidad de la aplicación, a
Al menos anualmente y después de cualquier cambio.
- Instalar un firewall de aplicación web frente a las aplicaciones web orientadas al público.
Esta es probablemente la sección más exigente de toda la factura, ya que requiere que tengas un WAF en su lugar o que realices controles de rutina después de (y esto es importante) CADA CAMBIO realizado en tus aplicaciones web.
En otras palabras, pura pesadilla ...
Esta sección es lo que aleja a muchos propietarios de sitios web de pymes de PCI DDS y a un proveedor de facturación externo, ya que los costos de instalación y mantenimiento son simplemente demasiado altos. (WAF costará miles de dólares, incluso antes de los costos de mantenimiento, y las verificaciones de rutina después de cada cambio no son una opción, e incluso si lo es, viene con un costo acumulativo aún mayor)
Recientemente se puso a disposición una solución asequible para este problema a través de WAF compatible con PCI basada en la nube.
La idea aquí es la de "uso compartido" y "economía de escala". En este escenario, la protección de WAF se distribuye a través de la nube a una comunidad de usuarios (sitios web) y cada comunidad miembro obtiene todas las funciones y actualizaciones de WAF, pero solo paga una fracción del precio total.
Esto reduce considerablemente los costos iniciales de instalación / compra y también elimina todos los costos de mantenimiento adicionales (ya que un equipo de seguridad centrado opera y actualiza el WAF para todos los usuarios de la nube).
También proporciona una estandarización completa y promete una calidad de mantenimiento muy alta (muy importante en un entorno de seguridad en constante cambio pero no alcanzable sin una persona / equipo de seguridad dedicado)
(descargo de responsabilidad: trabajo para la empresa que proporciona esta solución)