Requisitos de SAQ A-EP para VPS Hosting

Navega tus respuestas
5

Estamos alojando un sitio en un VPS Digital Ocean ("Droplet") autogestionado que realizará pagos a través de Stripe utilizando su API stripe.js. De acuerdo con PCI , hemos determinado que estamos bajo el AQP de SAQ.

Sin embargo, SAQ A-EP (Parte 2g) declara que:

  

Si el sitio web del comerciante está alojado por un proveedor externo , el proveedor está validado para todos los requisitos de PCI DSS aplicables (por ejemplo, incluido el Apéndice A de PCI DSS si el proveedor es un proveedor de alojamiento compartido)

Lo que tengo problemas para entender es lo siguiente:

  1. Ya que estamos en un VPS provisto por Digital Ocean, ¿se considera que estamos usando "alojamiento compartido" de un proveedor externo? ¿O se nos considera auto alojados, ya que el VPS es autogestionado y Digital Ocean no tiene acceso de shell a nuestra caja?
  2. ¿Debe cumplirse el Apéndice A? Si es así, ¿por quién?
  3. Si nos consideramos autoalojados, ¿cumplimos con el siguiente requisito (también en la Parte 2g), ya que nuestro VPS tiene su propia dirección IP y somos los únicos con acceso al VPS?
      

    El sitio web de comercio electrónico de Merchant no está conectado a ningún otro sistema dentro del entorno del comerciante (esto se puede lograr mediante la segmentación de la red para aislar el sitio web de todos los demás sistemas)

    4.   
pregunta John Mahoney 05.08.2014 - 18:35
fuente

2 respuestas

6

Primero, permítame decirle que estoy de acuerdo con su evaluación de que SAQ A-EP es lo que debe usar (suponiendo que su volumen lo califique para el Nivel 3 o 4, menos de 1 millón de transacciones anuales). Este es un gran cambio para PCI y me imagino que va a causar algunas fluctuaciones graves en el espacio de pagos.

Mi comprensión de la frase "alojamiento compartido" en términos de PCI no se aplica a Digital Ocean ni a ningún proveedor de VPS. Sin embargo, aún son proveedores de alojamiento y, como tales, tienen acceso a los datos del titular de la tarjeta. Ellos dicen en su página de seguridad que los empleados del equipo de ingeniería tienen acceso a los servidores host backend. Por lo tanto, es completamente posible que accedan a su Droplet si lo desean.

La forma en que puede pensar esto es que, si contrataron a una persona maliciosa, podrían acceder y modificar los datos de su Droplet. Si pudieran modificar algo en su Droplet, podrían agregar JavaScript a la página para desviar los datos del titular de la tarjeta antes de enviarlos a Stripe. Ahora, creo que todos esperaríamos que Digital Ocean tenga controles para monitorear / auditar este tipo de cosas y es ahí donde entra en juego el PCI. Deben someterse a una evaluación del proveedor de servicios de nivel 1 de PCI para validar sus controles. Parece que esto ocurrió antes y dijeron que no estaban persiguiendo ningún tipo de cumplimiento de PCI en el momento.

    
respondido por el John Downey 05.08.2014 - 20:23
fuente
2

En mi opinión, dada la información que proporcionó, SAQ A-EP se ajusta a su escenario.

Usted no está auto hospedado y Digital Ocean es su proveedor externo . El alojamiento es más que el software que aloja, pero también la seguridad física del hardware. Es probable que Digital Ocean tenga acceso a sus datos almacenados en el servidor, y podría alterar los archivos en la caja que hacen que las páginas de pago cambien sin acceso SSH. Independientemente de si se clasifican como hosting compartido, Digital Ocean aún debe validarse en los elementos relevantes de PCI DSS (ver más abajo).

Sin embargo, no sé si se clasificarían como Alojamiento compartido y me basaría en los consejos de un QSA en este caso. Si no es un alojamiento compartido, obtenga una justificación clara de por qué.

En lo que respecta a la segmentación , la mayoría de las empresas tendrán partes de sus sistemas dentro y fuera de su alcance. Las partes en el alcance deben ser segmentadas y controladas desde las partes fuera del alcance. Es posible que desee que su sitio web esté completo, o que desee dividirlo en partes alojadas por separado. Las partes externas también pueden caer dentro / fuera del alcance. p.ej. Digital Ocean estará dentro del alcance, pero Internet estará fuera del alcance. Asegure su entorno dentro del alcance utilizando cortafuegos y otros medios, por lo que solo se permite el tráfico destinado a su entorno.

El SAQ A-EP requiere varias cosas en la sección "Antes de comenzar" que serán todas las cosas que debes verificar. Una pareja a la que quiero llamar, suena realmente relevante para las preguntas que está haciendo:

  1. Su proveedor de alojamiento debe ser validado para todos los requisitos aplicables de las PCI DSS

      

    Si el sitio web del comerciante está alojado por un proveedor externo, el proveedor está validado para todos los requisitos aplicables de las PCI DSS

    Digital Ocean esencialmente necesita ser compatible con PCI, o al menos algunos de los requisitos, para que usted sea compatible con PCI. La última vez que comprobé que no lo están . AWS ha mantenido el Cumplimiento de PCI durante algún tiempo, y son un buen valor predeterminado para la virtualización y PCI.

  2. No use JS, CSS, etc. externos en sus páginas usando StripeJS

      

    Todos los elementos de las páginas de pago que se envían al navegador del consumidor se originan en   el sitio web del comerciante o un proveedor o proveedores de servicios compatibles con PCI DSS;

  3. Es su responsabilidad asegurarse de que sus proveedores de servicios sean compatibles con PCI

      

    Su compañía ha confirmado que todos los terceros que manejan el almacenamiento, el procesamiento y / o la transmisión de datos del titular de la tarjeta son compatibles con PCI DSS

Lo anterior es mi opinión y no un consejo, no debe confiar en ello y, en su lugar, consultar a un PCI QSA registrado para obtener asesoramiento. Las citas en bloque se encuentran en PCI DSS SAQ A-EP v3 . Lea siempre la versión completa de SAQ y PCI DSS.

    
respondido por el leighmcc 10.08.2014 - 23:48
fuente

Lea otras preguntas en las etiquetas

¿Qué tan peligroso es usar un controlador de red inalámbrica no libre? Peligros de XSS en el lado del servidor frente al lado del cliente