Comment isoler la conformité PCI

Nous traitons actuellement, mais ne stockons pas, les données de carte de crédit. Nous autorisons les cartes via une application auto-développée utilisant l'API authorize.net.

Si possible, nous aimerions limiter toutes les exigences de PCI qui affectent nos serveurs (comme l'installation d'Antivirus) à un environnement séparé et isolé. Est-ce possible de faire tout en maintenant la conformité?

Si oui, qu'est-ce qui constituerait un isolement suffisant? Sinon, existe-t-il un endroit où cette portée est clairement définie?

security pci-dss

— Kyle Brandt
source

Quel niveau de conformité PCI essayez-vous d'atteindre? Si vous vous en tenez au niveau 4, vous avez juste besoin d'un questionnaire d'auto-évaluation et d'être analysé par rapport aux vulnérabilités connues. Facile.

— Ryan

@ryan La SAQ n'est pas une solution miracle. Ce sont les mêmes exigences que d'avoir un vérificateur. Vous n'avez tout simplement pas besoin de faire venir un tiers pour vérifier votre travail.

— Zypher

Mon point était que le niveau PCI détermine les restrictions. Le niveau 4 ne nécessite pas de services séparés car vous ne stockez pas les données du titulaire de la carte.

— Ryan

@zypher voir pcicomplianceguide.org/pcifaqs.php#6 "commerçants avec des systèmes d'application de paiement connectés à Internet, pas de stockage de données de titulaire de carte " - ce qui signifie que le questionnaire d'auto-évaluation PCI C est le bon dans ce cas.

— Jeff Atwood

Réponses:

La dernière fois que j'ai lu les normes PCI, les exigences d'isolement étaient assez bien énoncées (le terme technique dans le langage PCI est de réduire la portée de l'environnement conforme PCI). Tant que ces serveurs manifestement non conformes n'ont aucun accès à la zone conforme, il devrait voler. Ce serait un segment de réseau entièrement protégé par un pare-feu de votre réseau normal, et les règles de ce pare-feu sont elles-mêmes conformes à la norme PCI.

Nous avons fait à peu près la même chose nous-mêmes dans mon ancien travail.

L'essentiel à garder à l'esprit est que du point de vue de la zone compatible PCI, tout ce qui ne se trouve pas dans la zone doit être traité comme l'Internet public, peu importe si c'est également le même réseau qui stocke également l'IP de votre entreprise. Tant que vous faites cela, vous devriez être bon.

— sysadmin1138
source

Je suppose que l'accès va dans les deux sens? Ainsi, par exemple, dans le cas de Windows, nous aurions besoin d'un domaine et de comptes d'utilisateurs différents, etc.? Étant donné qu'aucun des deux env ne pouvait utiliser l'autre pour l'authentification?

— Kyle Brandt

@KyleBrandt Nous n'avons jamais eu de Windows soumis à PCI-DSS, mais à cause du fonctionnement d'AD: oui, des environnements séparés là aussi. Vous voudrez peut-être laisser tomber certaines des questions de clarification sur security.se juste au cas où.

— sysadmin1138

C'est en fait assez courant. Nous désignons / désignons régulièrement les ordinateurs comme «hors de portée pour PCI».

De plus, "clairement" ne fait parfois pas partie du lexique PCI. Le langage peut être vague. Nous avons constaté que parfois l'approche la plus simple peut être de demander à l'auditeur si une solution proposée fonctionnerait. Tenez compte des éléments suivants du PCI-DSS V2:

"Sans une segmentation de réseau adéquate (parfois appelée" réseau plat "), l'ensemble du réseau fait partie de l'évaluation PCI DSS. La segmentation du réseau peut être réalisée par un certain nombre de moyens physiques ou logiques, tels que des pare-feu de réseau interne correctement configurés, des routeurs avec de solides listes de contrôle d'accès ou d'autres technologies qui restreignent l'accès à un segment particulier d'un réseau. "

Cela signifie-t-il qu'un commutateur réseau normal répond aux exigences? Ce serait facile pour eux de le dire, mais voilà. Ce sont «d'autres technologies qui restreignent l'accès à un segment particulier d'un réseau». Un autre de mes favoris sur la portée:

"... Les applications incluent toutes les applications achetées et personnalisées, y compris les applications internes et externes (par exemple, Internet)."

Je ne suis pas sûr de la partie AD, mais nous avons des HIDS et un antivirus sur tous nos contrôleurs de domaine, donc je soupçonne que c'est possible.

— Greg Askew
source