В настоящее время мы обрабатываем, но не храним данные кредитных карт. Мы авторизуем карты через приложение собственной разработки с использованием API authorize.net.
Если возможно, мы хотели бы ограничить все требования PCI, которые влияют на наши серверы (например, установка Антивируса) в изолированную отдельную среду. Возможно ли это сделать, сохраняя при этом соблюдение требований?
Если да, то что будет считаться достаточной изоляцией? Если нет, то есть ли где-нибудь, где эта сфера действия четко определена?
В последний раз, когда я читал стандарты PCI, в них были довольно хорошо изложены требования к изоляции (технический термин на языке PCI - уменьшить объем среды, совместимой с PCI). Пока эти явно несовместимые серверы не имеют доступа к соответствующей зоне, он должен работать. Это будет сегмент сети, который полностью защищен брандмауэром от вашей обычной сети, и правила этого брандмауэра сами по себе совместимы с PCI.
На моей старой работе мы сделали то же самое.
Важно помнить, что с точки зрения PCI-совместимой зоны все, что не входит в зону, должно рассматриваться как общедоступный Интернет, независимо от того, является ли это той же самой сетью, в которой хранится ваш корпоративный IP. Пока вы это делаете, у вас должно быть хорошо.
На самом деле это довольно распространенное явление. Мы обычно называем компьютеры «подпадающими под действие PCI».
Кроме того, «ясно» иногда не входит в лексикон PCI. Язык может быть расплывчатым. Мы обнаружили, что иногда самым простым подходом может быть вопрос аудитора, сработает ли предлагаемое решение. Рассмотрим следующее из PCI-DSS V2:
«Без адекватной сегментации сети (иногда называемой« плоской сетью ») вся сеть подлежит оценке PCI DSS. Сегментация сети может быть достигнута с помощью ряда физических или логических средств, таких как правильно настроенные внутренние сетевые брандмауэры, маршрутизаторы с списки строгого контроля доступа или другие технологии, ограничивающие доступ к определенному сегменту сети ".
Означает ли это, что нормальный сетевой коммутатор соответствует требованиям? Им было бы легко так сказать, но вот и все. Это «другие технологии, ограничивающие доступ к определенному сегменту сети». Еще одно из моих любимых о прицеле:
«... Приложения включают в себя все приобретенные и пользовательские приложения, включая внутренние и внешние (например, Интернет) приложения».
Я не уверен насчет AD, но у нас есть HIDS и антивирус на всех наших DC, так что я подозреваю, что это может быть.