No puede usar la autenticación basada en certificados para "ocultar" una máquina de la misma manera que una VPN oculta una máquina, que es lo que pretende el estándar PCI en la sección 1.3 en v2.0 de los estándares PCI-DSS .
1.3. Prohibir el acceso público directo entre Internet y cualquier
Componente del sistema en el entorno de datos del titular de la tarjeta.
Cada uno de los componentes de 1.3 se refiere a evitar el contacto directo con el componente del sistema. El contacto directo significa que su máquina tiene una IP de acceso público y se puede comunicar directamente con ella. Un sistema de autenticación basado en certificados no excluye la sección 1.3 porque no ofrece protección contra las vulnerabilidades de nivel de pila de red (SO) o similares, que podrían utilizarse para penetrar y evitar el sistema de autenticación.
Los requisitos secundarios continúan describiendo los métodos específicos que deben implementarse para evitar el acceso público: las protecciones de nivel de red intervienen, como firewalls, VPN, etc.
Si aún no lo ha leído, lea " Comprensión de la intención de los requisitos " como un interpretativo guía. La interpretación de la Sección 1.3 básicamente dice exactamente lo que dije anteriormente:
La intención de un firewall es administrar y controlar todas las conexiones entre sistemas públicos
y sistemas internos (especialmente aquellos que almacenan, procesan o transmiten al tarjetahabiente
datos). Si se permite el acceso directo entre los sistemas públicos y el CDE, el
Las protecciones ofrecidas por el firewall se omiten y los componentes del sistema se almacenan.
Los datos del titular de la tarjeta pueden estar expuestos a un compromiso.
En última instancia, esto significa que siempre que su sistema manual esté protegido con un firewall de seguridad intermedio u otra solución de enmascaramiento (por ejemplo, VPN) que también cumpla con los requisitos establecidos en (toda la) sección 1, debería estar multa. Ni siquiera necesitaría utilizar soluciones basadas en certificados siempre y cuando toda la otra identificación y amp; Las piezas de autenticación se implementan de forma segura según el estándar PCI.