PCI: ¿qué califica como acceso público?

Navega tus respuestas
5

Mi personal de desarrollo está en el proceso de automatizar nuestro proceso de fin de mes. Hay un pequeño paso manual que necesita ser ejecutado.

Hemos estado pensando en las ramificaciones de PCI para hacer esto accesible a través de la red. Observando los estándares de PCI, en particular el 1.1 que bloquea el acceso público al entorno del titular de la tarjeta desde la Internet pública.

Leí que esto no se consideraría de acceso público si tengo certificados de cliente establecidos. Esto colocaría esto más en el ámbito del acceso VPN y las reglas asociadas.

¿Suena esto correcto? ¿Hay algún error adicional que deba tener en cuenta?

EDITAR:

Perfecto. Muchas gracias. Tengo un firewall / HIP / NDS / etc en su lugar. Creo que la autenticación de certificado (junto con la autenticación de contraseña normal) se usará en lugar de un túnel VPN completo. La autenticación del certificado se produciría en el firewall, antes de que algo peligroso pueda ingresar a la red interna.

    
pregunta Tim Brigham 17.02.2012 - 20:03
fuente

1 respuesta

9

No puede usar la autenticación basada en certificados para "ocultar" una máquina de la misma manera que una VPN oculta una máquina, que es lo que pretende el estándar PCI en la sección 1.3 en v2.0 de los estándares PCI-DSS .

1.3. Prohibir el acceso público directo entre Internet y cualquier Componente del sistema en el entorno de datos del titular de la tarjeta.

Cada uno de los componentes de 1.3 se refiere a evitar el contacto directo con el componente del sistema. El contacto directo significa que su máquina tiene una IP de acceso público y se puede comunicar directamente con ella. Un sistema de autenticación basado en certificados no excluye la sección 1.3 porque no ofrece protección contra las vulnerabilidades de nivel de pila de red (SO) o similares, que podrían utilizarse para penetrar y evitar el sistema de autenticación.

Los requisitos secundarios continúan describiendo los métodos específicos que deben implementarse para evitar el acceso público: las protecciones de nivel de red intervienen, como firewalls, VPN, etc.

Si aún no lo ha leído, lea " Comprensión de la intención de los requisitos " como un interpretativo guía. La interpretación de la Sección 1.3 básicamente dice exactamente lo que dije anteriormente:

La intención de un firewall es administrar y controlar todas las conexiones entre sistemas públicos y sistemas internos (especialmente aquellos que almacenan, procesan o transmiten al tarjetahabiente datos). Si se permite el acceso directo entre los sistemas públicos y el CDE, el Las protecciones ofrecidas por el firewall se omiten y los componentes del sistema se almacenan. Los datos del titular de la tarjeta pueden estar expuestos a un compromiso.

En última instancia, esto significa que siempre que su sistema manual esté protegido con un firewall de seguridad intermedio u otra solución de enmascaramiento (por ejemplo, VPN) que también cumpla con los requisitos establecidos en (toda la) sección 1, debería estar multa. Ni siquiera necesitaría utilizar soluciones basadas en certificados siempre y cuando toda la otra identificación y amp; Las piezas de autenticación se implementan de forma segura según el estándar PCI.

    
respondido por el logicalscope 18.02.2012 - 19:04
fuente

Lea otras preguntas en las etiquetas

Seguridad de inicio de sesión sin SSL ¿Es razonable realizar un pentest (u otra auditoría de seguridad no teórica) sobre una infraestructura crítica?