PCI 合规性 - 未经身份验证的数据库

Question

我不知道去哪里询问 PCI 合规性问题，所以我想我应该尝试一下。如果有人能指出我可以提问的正确方向，请分享。我也很乐意将其标记为答案。

如果符合 PCI 标准的网站连接到的数据库不存储用户信息，但包含可能在支付过程中呈现的 HTML 和 JavaScript 片段，那么该数据库是否需要进行身份验证才能保持 PCI 合规性？我正在评估 MongoDB，发现它在配置副本集时不提供身份验证。

Answer 1

分几个部分回答：

• 正如我在上面的评论中所说，我不是 QSA（特别不是 你的 QSA），并且无权允许您以一种或另一种方式进行。要获得明确的答案，您需要 你的 QSA 签署。（嗯，IANAQSA 是新的 IANAL...？）
• 严格来说，PCI 不是: ：“验证对任何数据库的所有访问 包含持卡人数据"
• 虽然您可能不需要对数据库进行身份验证，但您 做 需要根据 PCI DSS 要求 1.3.7 将其隔离在内部网络上，与 DMZ 分开。
• 根据要求6.1，你仍然需要确保补丁（它提到了数据库，但没有提到 冠心病 数据库）。
• 综上所述，从安全角度来看，您应该考虑 偷窃 来自数据库的数据可能不是问题， 注射 代码 进入 您的数据库可能是一个严重的漏洞，例如持久性 XSS。根据要求 6.5.1，这当然会间接使您的 PCI 合规性失效。

同样，您可能会得到一些更好的答案 http://security.stackexchance.com/ ...

Answer 2

我不得不说没有每PCI的要求：的http：// EN .wikipedia.org /维基/ Payment_Card_Industry_Data_Security_Standard＃要求

您没有住房数据库中的任何个人信息，如果您保护MongoDB的防火墙和持续监控，你可以遵循。如果你很担心，我会得到一个审计事务所来检查一下。