PCIコンプライアンスを分離する方法

現在、クレジットカードデータは処理していますが、保存はしていません。authorize.net APIを使用して、独自に開発したアプリケーションを介してカードを認証します。

可能であれば、サーバーに影響を与えるPCIのすべての要件（Anti-Virusのインストールなど）を分離された個別の環境に制限したいと思います。コンプライアンスを維持しながらそれを行うことは可能ですか？

もしそうなら、何が十分な隔離を構成しますか？そうでない場合、その範囲が明確に定義されている場所はありますか？

security pci-dss

— カイル・ブラント
ソース

どのPCIコンプライアンスレベルを達成しようとしていますか？レベル4に固執する場合は、自己評価アンケートが必要であり、既知の脆弱性に対してスキャンする必要があります。シンプル。

— ライアン

@ryan SAQは魔法の弾丸ではありません。審査員を招asするのと同じ要件があります。外部のパーティを招いて作業を検証する必要はありません。

— ザイファー

私のポイントは、PCIレベルが制限を決定することでした。レベル4では、カード所有者データを保存していないため、個別のサービスは必要ありません。

— ライアン

@zypher参照pcicomplianceguide.org/pcifaqs.php#6「インターネットに接続されているペイメントアプリケーションシステムとの商人を、何のカード会員データの保存」 -意味PCIの自己評価アンケートのCは、その場合には正しいものではありません。

— ジェフアトウッド

回答:

前回PCI規格を読んだとき、それらにはかなり明確な分離要件がありました（PCI言語の技術用語は、PCI準拠環境の範囲を減らすことです）。これらの著しく準拠していないサーバーが準拠ゾーンへのアクセス権を持たない限り、そのゾーンは飛行するはずです。これは、通常のネットワークから完全にファイアウォールで保護されたネットワークセグメントであり、そのファイアウォールのルール自体はPCIに準拠しています。

私たちは以前の仕事で同じことをしました。

留意すべき重要なことは、PCI準拠ゾーンの観点から、ゾーン内にないものはすべて、パブリックIPのように扱われることであり、企業IPを保管するのも同じネットワークであるということです。あなたがそれをする限り、あなたは良いはずです。

— sysadmin1138
ソース

アクセスは両方の方向に進むと思いますか？たとえば、Windowsの場合、別のドメインとユーザーアカウントなどが必要でしょうか？どちらのenvももう一方を認証に使用できないのですか？

— カイルブラント

@KyleBrandt PCI-DSSの対象となるWindowsは一度もありませんでしたが、ADの動作方法が原因で、ええ、別々の環境もありました。念のために、security.seで明確な質問のいくつかをドロップすることができます。

— sysadmin1138

これは実際には非常に一般的です。私たちは、コンピュータを「PCIの範囲内」として定期的に参照/指定します。

また、「明らかに」はPCIレキシコンの一部ではない場合があります。言語はあいまいな場合があります。提案された解決策が機能するかどうかを監査人に尋ねることが最も簡単なアプローチである場合があることを発見しました。PCI-DSS V2の次の点を考慮してください。

「適切なネットワークセグメンテーション（「フラットネットワーク」と呼ばれることもあります）なしでは、ネットワーク全体がPCI DSS評価の範囲に含まれます。ネットワークセグメンテーションは、適切に構成された内部ネットワークファイアウォール、強力なアクセス制御リスト、またはネットワークの特定のセグメントへのアクセスを制限するその他の技術。」

それは、通常のネットワークスイッチが要件を満たしているということですか？彼らがそう言うのは簡単でしょうが、そこに行きます。「ネットワークの特定のセグメントへのアクセスを制限する他の技術」です。スコープに関するもう1つのお気に入り：

"...アプリケーションには、内部および外部（インターネットなど）アプリケーションを含む、購入したカスタムアプリケーションがすべて含まれます。

ADの部分についてはわかりませんが、すべてのDCにHIDSとウイルス対策があります。

— グレッグ・アスキュー
ソース