PCI Compliance - Non autenticato DB

StackOverflow https://stackoverflow.com/questions/4269086

Domanda

Non ho idea di dove andare per questioni di conformità PCI, quindi mi piacerebbe ho pensato di dare un colpo SO. Se qualcuno mi può puntare nella giusta direzione di dove posso andare a fare domande, si prega di condividere. Sarò felice di segnare che come risposta pure.

Se un PCI compatibile sito si connette a un database che memorizza alcuna informazioni utente, ma contiene HTML e snippet JavaScript che potrebbe ottenere rese durante il processo di pagamento, sarebbe questa necessità database per avere l'autenticazione di rimanere compatibile PCI? Sto valutando MongoDB e ha scoperto che non fornisce autenticazione quando configurato con set di repliche.

È stato utile?

Soluzione

Una diverse parte risposta:

  • Come ho detto nel mio commento fino in alto, io non sono un QSA (in particolare non tuo QSA), e non autorizzati ad ammettere in un modo o l'altro. Per una risposta definitiva è necessario tuo QSA di firmare su di esso. (Hmm, IANAQSA è il nuovo IANAL ....?)
  • A rigor di termini, PCI non : "Autentica tutti gli accessi a qualsiasi database di dati dei titolari di carta contenente "
  • Anche se potrebbe non essere necessario l'autenticazione al DB, è fa necessità di separare su una rete interna, separata dal DMZ, come da requisito PCI DSS 1.3.7.
  • Secondo il requisito 6.1 è comunque necessario per garantire patch (si parla di database, ma nulla di CHD Database).
  • Detto questo, dal punto di vista della sicurezza, è necessario considerare che, mentre rubare i dati dal database potrebbe essere un non-problema, iniezione codice in il database potrebbe essere una vulnerabilità critica, ala XSS persistente. Il che, naturalmente, indirettamente invalidare la conformità PCI, secondo il requisito 6.5.1.

Anche in questo caso, si potrebbe ottenere alcune risposte migliori sopra su http://security.stackexchance.com/ . ..

Altri suggerimenti

ho intenzione di dire di no secondo le esigenze del PCI: http: // it .wikipedia.org / wiki / Payment_Card_Industry_Data_Security_Standard # Requisiti

Non sei abitazioni tutte le informazioni personali nel database e se si proteggono MongoDB con i firewall e monitorare continuamente, si può essere in regola. Se siete abbastanza preoccupato circa che avrei ricevuto una società di revisione di check it out.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top