PCI Compliance - Nicht authentifizierte DB

StackOverflow https://stackoverflow.com/questions/4269086

Frage

Ich habe keine Ahnung, wo für PCI-Compliance-Fragen gehen, so würde ich dachte, dass ich SO einen Schuss geben würde. Wenn jemand mich in die richtige Richtung zeigen kann, wo ich gehen kann, Fragen zu stellen, bitte teilen. Ich werde glücklich sein, wie gut, dass als Antwort zu markieren.

Wenn eine PCI-konforme Website eine Verbindung zu einer Datenbank speichert, dass keine Nutzerinformationen, sondern enthält HTML und JavaScript-Schnipsel, die während des Zahlungsprozesses gemacht werden könnten, wäre diese Datenbank müssen die Authentifizierung haben PCI-konform zu bleiben? Ich Auswertung MongoDB und fand, dass es nicht Auth nicht, wenn sie mit Replikatsätzen konfiguriert.

War es hilfreich?

Lösung

Eine mehrteilige Antwort:

  • sagte Wie ich in meinem Kommentar oben oben, ich bin kein QSA (speziell nicht Ihre QSA) und nicht autorisierte Sie die eine oder die andere zu ermöglichen. Für eine definitive Antwort müssen Sie Ihre QSA abzumelden darauf. (Hmm, IANAQSA ist die neue IANAL ....?)
  • Genau genommen PCI tut nicht : "Authentifizieren alle Zugriff auf jede Datenbank mit Karteninhaberdaten "
  • Bei der Authentifizierung nicht auf die DB benötigen, können Sie tun Notwendigkeit, es in einem internen Netzwerk zu trennen, von der DMZ getrennt, gemäß PCI DSS-Anforderung 1.3.7.
  • Nach Anforderung 6.1 müssen Sie noch Patches, um sicherzustellen, (es erwähnt Datenbanken, aber nichts über CHD Datenbanken).
  • Alles, was gesagt, von einem Standpunkt der Sicherheit aus, sollten Sie diese während betrachten stehlen Daten aus der Datenbank möglicherweise kein Thema sein, injizierende Code in könnte Ihre Datenbank eine kritische Sicherheitslücke sein, ala Persistent XSS. natürlich indirekt ungültig Ihre PCI-Compliance dar, der, je nach Anforderung 6.5.1.

Auch Sie könnten einige bessere Antworten bekommen über http://security.stackexchance.com/ . ..

Andere Tipps

Ich werde nicht sagen müssen, gemäß den Anforderungen von PCI: http: // en .wikipedia.org / wiki / Payment_Card_Industry_Data_Security_Standard # Anforderungen

Sie sind das Gehäuse keine persönlichen Daten in der Datenbank, und wenn Sie mongodb mit Firewalls schützen und kontinuierlich zu überwachen, können Sie in Übereinstimmung sein. Wenn Sie ziemlich besorgt über, dass ich eine Wirtschaftsprüfungsgesellschaft bekommt es zu überprüfen.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top