PCI Compliance - no autenticado DB
https://stackoverflow.com/questions/4269086
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
No tengo idea de dónde ir por cuestiones de cumplimiento de PCI, así que yo pensé que le daría un tiro SO. Si alguien me puede apuntar en la dirección correcta de donde puedo ir a hacer preguntas, por favor, comparta. Voy a ser feliz para marcar que como una respuesta así.
Si un sitio compatible con PCI se conecta a una base de datos que almacena no Información de usuario, pero contiene HTML y JavaScript fragmentos que pudiera quedar prestados durante el proceso de pago, lo haría esta necesidad de tener la base de datos de autenticación para seguir siendo compatible con PCI? Estoy evaluando MongoDB y encontró que no proporciona autenticación cuando se configura con conjuntos de réplicas.
Solución
Un varias partes respuesta:
- Como dije en mi comentario en lo alto, no soy un QSA (en concreto no su QSA), y no autorizados a permitir que de un modo u otro. Para una respuesta definitiva lo que necesita su QSA que firmar en ella. (Hmm, IANAQSA es el nuevo IANAL ....?)
- En sentido estricto, PCI hace no : "Autenticar todos los accesos a cualquier base de datos de datos contiene los titulares de tarjetas "
- Si bien puede que no necesite autenticación a la base de datos, que hace necesidad de segregar en una red interna, separado de la zona de distensión, de acuerdo con PCI DSS requisito 1.3.7.
- Según el requisito 6.1 que todavía tienen que garantizar parches (que menciona las bases de datos, pero nada acerca de CHD bases de datos).
- Dicho todo esto, desde un punto de vista de la seguridad, se debe tener en cuenta que mientras que robar los datos de la base de datos podría ser un no-problema, inyección código en su base de datos podría ser una vulnerabilidad crítica, ala XSS persistente. Lo que invalidaría por supuesto indirectamente el cumplimiento de PCI, según el requisito 6.5.1.
Una vez más, es posible obtener algunas respuestas mejores sobre el http://security.stackexchance.com/ . ..
Otros consejos
Me voy a tener que decir que no por los requisitos de PCI: http: // en .wikipedia.org / wiki / Payment_Card_Industry_Data_Security_Standard # Requisitos
No estás Vivienda cualquier información personal en la base de datos y si protege mongodb con los cortafuegos y supervisar continuamente, es posible que en el cumplimiento. Si está muy preocupado por que iba a obtener una firma de auditoría para comprobar que funciona.
