الامتثال PCI - DB غير مصادق عليه
https://stackoverflow.com/questions/4269086
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ليس لدي أي فكرة إلى أين أذهب لأسئلة الامتثال PCI ، لذلك اعتقدت أنني سأقدم لقطة. إذا تمكن شخص ما من توجيهني في الاتجاه الصحيح للمكان الذي يمكنني الذهاب إليه لطرح الأسئلة ، فيرجى المشاركة. سأكون سعيدًا بمناسبة ذلك كإجابة أيضًا.
إذا كان موقع متوافق مع PCI يتصل بقاعدة بيانات لا تخزن أي معلومات مستخدم ، ولكن لا تحتوي على مقتطفات HTML و JavaScript التي يمكن تقديمها أثناء عملية الدفع ، فهل تحتاج قاعدة البيانات هذه إلى المصادقة لتظل متوافقة مع PCI؟ أقوم بتقييم mongoDB ووجدت أنه لا يوفر المصادقة عند تكوينه بمجموعات النسخة المتماثلة.
المحلول
إجابة عدة:
- كما قلت في تعليقي أعلى ، أنا لست QSA (على وجه التحديد لا لك QSA) ، وليس مخولًا للسماح لك بطريقة أو بأخرى. للحصول على إجابة نهائية تحتاجها لك QSA للتوقيع عليه. (هم ، Ianqsa هو Ianal الجديد ....؟)
- بالمعنى الدقيق للكلمة ، PCI يفعل ليس: "مصادقة كل الوصول إلى أي قاعدة بيانات تحتوي على بيانات حامل البطاقة"
- على الرغم من أنك قد لا تحتاج إلى مصادقة في DB ، فأنت أنت فعل تحتاج إلى فصلها على شبكة داخلية ، مفصولة من DMZ ، وفقًا لمتطلبات PCI DSS 1.3.7.
- وفقًا للمتطلبات 6.1 ، لا تزال بحاجة إلى ضمان تصحيحات (يذكر قواعد البيانات ، ولكن لا شيء عن CHD قواعد بيانات).
- كل ما قيل ، من وجهة نظر أمنية ، يجب أن تفكر في ذلك الوقت سرقة قد تكون البيانات من قاعدة البيانات غير قضية ، حقن الشفرة داخل يمكن أن تكون قاعدة البيانات الخاصة بك ضعفًا حرجة ، XSS المستمرة ALA. والتي من شأنها بالطبع إبطال امتثال PCI بشكل غير مباشر ، وفقًا للمتطلبات 6.5.1.
مرة أخرى ، قد تحصل على بعض الإجابات الأفضل على http://security.stackexchance.com/ ...
نصائح أخرى
سأقول لا يوجد في متطلبات PCI: http://en.wikipedia.org/wiki/payment_card_industry_data_security_standard#requirements
أنت لا تضفي أي معلومات شخصية في قاعدة البيانات ، وإذا قمت بحماية MongoDB مع جدران الحماية ومراقبة باستمرار ، فقد تكون في الامتثال. إذا كنت قلقًا جدًا بشأن ذلك ، فسوف أحصل على شركة تدقيق للتحقق من ذلك.
