पीसीआई अनुपालन को अलग कैसे करें

वर्तमान में हम प्रक्रिया करते हैं, लेकिन क्रेडिट कार्ड डेटा स्टोर नहीं करते हैं। हम ऑथराइज.नेट एपीआई का उपयोग करके एक स्व-विकसित एप्लिकेशन के माध्यम से कार्ड को अधिकृत करते हैं।

यदि संभव हो, तो हम पीसीआई की सभी आवश्यकताओं को सीमित करना चाहेंगे जो हमारे सर्वर (जैसे एंटी-वायरस को स्थापित करने) को एक अलग वातावरण में प्रभावित करते हैं। क्या अब भी अनुपालन बनाए रखना संभव है?

यदि हां, तो पर्याप्त अलगाव क्या होगा? यदि नहीं, तो क्या ऐसा कहीं है जहाँ उस दायरे को स्पष्ट रूप से परिभाषित किया गया है?

security pci-dss

— काइल ब्रांट
स्रोत

पीसीआई अनुपालन स्तर आप क्या हासिल करने की कोशिश कर रहे हैं? यदि आप स्तर 4 से चिपके रहते हैं, तो आपको एक आत्म मूल्यांकन प्रश्नावली की जरूरत है और ज्ञात कमजोरियों के खिलाफ स्कैन किया जाना चाहिए। सरल।

— रयान

@ आर्यन SAQ एक जादू की गोली नहीं है। एक ऑडिटर होने के रूप में इसकी समान आवश्यकताएं हैं। आपको बस एक बाहरी पार्टी में नहीं आना है और अपने काम को सत्यापित करना है।

— ज़ीफोर

मेरा कहना था कि पीसीआई स्तर प्रतिबंधों का निर्धारण करता है। स्तर 4 को अलग-अलग सेवाओं की आवश्यकता नहीं है क्योंकि आप कार्ड धारक डेटा को संग्रहीत नहीं कर रहे हैं।

— रयान

@zypher, pcicomplianceguide.org/pcifaqs.php#6 "व्यापारियों को इंटरनेट से जुड़े पेमेंट एप्लीकेशन सिस्टम, नो कार्डहोल्डर डेटा स्टोरेज " के साथ देखते हैं - जिसका अर्थ है कि पीसीआई स्व मूल्यांकन प्रश्नावली सी उस मामले में सही है।

— जेफ एटवुड

जवाबों:

पिछली बार जब मैंने पीसीआई मानकों को पढ़ा था, तो उनके पास अलगाव की आवश्यकताएं बहुत अच्छी तरह से बताई गई थीं (पीसीआई भाषा में तकनीकी शब्द पीसीआई के अनुरूप वातावरण के दायरे को कम करने के लिए है)। इसलिए जब तक उन गैर-अनुपालन वाले सर्वरों का अनुपालन क्षेत्र में शून्य पहुंच है, इसे उड़ जाना चाहिए। यह एक नेटवर्क सेगमेंट होगा जो आपके सामान्य नेटवर्क से पूरी तरह से फ़ायरवॉल है, और उस फ़ायरवॉल पर नियम स्वयं PCI-compliant हैं।

हमने अपनी पुरानी नौकरी पर खुद भी यही काम किया।

ध्यान रखने वाली महत्वपूर्ण बात यह है कि PCI-compliant ज़ोन के दृष्टिकोण से ज़ोन में नहीं की जाने वाली हर चीज़ को पब्लिक इंटरनेट की तरह माना जाना चाहिए, भले ही यह वही नेटवर्क भी हो जो आपके कॉर्पोरेट IP को वेयरहाउस करता हो। तो जब तक आप ऐसा करते हैं, आपको अच्छा होना चाहिए।

— sysadmin1138
स्रोत

मुझे लगता है कि पहुँच दोनों तरीकों से होती है? उदाहरण के लिए, विंडोज के मामले में, हमें एक अलग डोमेन और उपयोगकर्ता खाते आदि की आवश्यकता होगी? चूँकि env न तो दूसरे का उपयोग कर सकते हैं?

— काइल ब्रैंडट

@KyleBrandt हमारे पास कभी भी पीसीआई-डीएसएस के लिए कोई विंडोज विषय नहीं था, लेकिन एडी कैसे काम करता है: हाँ, अलग-अलग वातावरण भी। आप सुरक्षा के मामले में कुछ स्पष्ट प्रश्नों को छोड़ना चाह सकते हैं। केवल मामले में।

— sysadmin1138

यह वास्तव में काफी सामान्य है। हम नियमित रूप से "पीसीआई के लिए गुंजाइश" के रूप में कंप्यूटरों को निर्दिष्ट / नामित करते हैं।

इसके अलावा, "स्पष्ट रूप से" कभी-कभी PCI lexicon का हिस्सा नहीं होता है। भाषा अस्पष्ट हो सकती है। हमने पाया है कि कभी-कभी सबसे सरल दृष्टिकोण ऑडिटर से पूछ सकता है कि क्या प्रस्तावित समाधान काम करेगा। PCI-DSS V2 से निम्नलिखित पर विचार करें:

"पर्याप्त नेटवर्क विभाजन के बिना (कभी-कभी" फ्लैट नेटवर्क "कहा जाता है) संपूर्ण नेटवर्क पीसीआई डीएसएस मूल्यांकन के दायरे में होता है। नेटवर्क विभाजन कई भौतिक या तार्किक साधनों के माध्यम से प्राप्त किया जा सकता है, जैसे कि ठीक से कॉन्फ़िगर किए गए आंतरिक नेटवर्क फ़ायरवॉल, रूटर्स के साथ। मजबूत अभिगम नियंत्रण सूची, या अन्य प्रौद्योगिकियां जो किसी नेटवर्क के किसी विशेष खंड तक पहुंच को प्रतिबंधित करती हैं। "

इसका मतलब यह है कि एक सामान्य नेटवर्क स्विच आवश्यकताओं को पूरा करता है? उनके लिए ऐसा कहना आसान होगा, लेकिन आप वहां जाएं। यह "अन्य प्रौद्योगिकियां हैं जो किसी नेटवर्क के किसी विशेष खंड तक पहुंच को प्रतिबंधित करती हैं।" गुंजाइश के बारे में मेरे पसंदीदा में से एक:

"... अनुप्रयोगों में आंतरिक और बाहरी (उदाहरण के लिए, इंटरनेट) अनुप्रयोगों सहित सभी खरीदे गए और कस्टम अनुप्रयोग शामिल हैं।"

मुझे AD भाग के बारे में निश्चित नहीं है, लेकिन हमारे सभी DC में HIDS और एंटीवायरस मौजूद हैं, इसलिए मुझे संदेह है कि यह हो सकता है।

— ग्रेग अस्का
स्रोत