Conformité PCI - non authentifié DB
https://stackoverflow.com/questions/4269086
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je ne sais pas où aller pour les questions de conformité PCI, donc je pensais que je donnerais un coup de feu SO. Si quelqu'un peut me diriger dans la bonne direction de l'endroit où je peux aller poser des questions, partagez. Je serai heureux de marquer que comme une réponse aussi bien.
Si un site conforme aux normes PCI se connecte à une base de données aucune information d'utilisateur stocke, mais ne contient HTML et extraits de code JavaScript qui pourraient se rendus au cours du processus de paiement, serait-ce besoin de base de données d'avoir l'authentification pour rester conforme à PCI? Je suis en train d'évaluer MongoDB et constaté qu'il ne fournit pas auth lorsqu'il est configuré avec des ensembles de répliques.
La solution
A plusieurs parties réponse:
- Comme je l'ai dit dans mon commentaire en haut, je ne suis pas un QSA (en particulier pas votre QSA), et non autorisés à vous permettre d'une façon ou l'autre. Pour une réponse définitive dont vous avez besoin votre QSA à signer là-dessus. (Hmm, IANAQSA est le nouveau IANAL ....?)
- A strictement parler, PCI ne pas : "Authentifier tous les accès à une base de données contenant des données des détenteurs de cartes "
- Bien que vous ne pourriez pas besoin d'authentification à la DB, vous faire nécessité de séparer sur un réseau interne, de la zone démilitarisée seperated, selon l'exigence PCI DSS 1.3.7.
- Selon l'exigence 6.1 vous encore besoin d'assurer des correctifs (il mentionne les bases de données, mais rien CHD bases de données).
- Cela dit, du point de vue de la sécurité, vous devriez considérer que si voler données de la base de données peut être un non-problème, injection code dans votre base de données pourrait être une vulnérabilité critique, ala persistante XSS. Ce qui invaliderait bien sûr indirectement votre conformité PCI, selon l'exigence 6.5.1.
Encore une fois, vous pourriez obtenir des meilleures réponses sur le http://security.stackexchance.com/ . ..
Autres conseils
Je vais devoir dire non par les exigences de PCI: http: // fr .wikipedia.org / wiki / Payment_Card_Industry_Data_Security_Standard # Exigences
Vous n'êtes pas de logement des renseignements personnels dans la base de données et si vous protégez mongodb avec les pare-feu et de surveiller en permanence, vous pouvez être en conformité. Si vous êtes assez inquiet au sujet que je recevrais un cabinet d'audit pour le vérifier.
