PCIコンプライアンス - 認証されていないDB

Question

PCIコンプライアンスの質問にどこに行くべきかわからないので、私はそんなにショットを与えると思いました。誰かが私がどこに行って質問することができるかという正しい方向に私を向けることができるなら、共有してください。それを答えとしてもマークさせていただきます。

PCIに準拠したサイトがユーザー情報を保存しないデータベースに接続しているが、支払いプロセス中にレンダリングできるHTMLおよびJavaScriptスニペットが含まれている場合、このデータベースはPCIに準拠したままにするために認証が必要ですか？私はMongoDBを評価しており、レプリカセットで構成されたときに認証を提供しないことがわかりました。

Answer 1

いくつかの部分の答え：

• 私がコメントの上に言ったように、私はQSAではありません（特にそうではありません あなたの QSA）、そしてどちらかを許可することを許可されていません。決定的な答えのために必要です あなたの QSAがサインオフします。 （うーん、Ianaqsaは新しいIanalです....？）
• 厳密に言えば、PCIはそうします いいえ: ：「すべてのアクセスを任意のデータベースに認証します カードホルダーデータを含む"
• DBへの認証は必要ないかもしれませんが、 行う PCI DSS要件1.3.7に従って、DMZから分離された内部ネットワークでそれを分離する必要があります。
• 要件6.1によると、パッチを確保する必要があります（データベースに言及していますが、何も言及していません CHD データベース）。
• とはいえ、セキュリティの観点から、あなたはそれを考慮する必要があります 窃盗 データベースからのデータは問題ではない場合があります。 注射 コード の中へ あなたのデータベースは、ALA永続的なXSSである重要な脆弱性になる可能性があります。もちろん、要件6.5.1に従って、PCIコンプライアンスを間接的に無効にします。

繰り返しますが、あなたはいくつかのより良い答えを得るかもしれません http://security.stackexchance.com/ ...

Answer 2

私はPCIの要件に従ってノーと言わなければなりません： http://en.wikipedia.org/wiki/payment_card_industry_data_security_standad#requirements

データベースに個人情報を収容しているわけではありません。ファイアウォールでMongoDBを保護し、継続的に監視する場合は、コンプライアンスになっている可能性があります。あなたがそれについてかなり心配しているなら、私はそれをチェックアウトするために監査会社を手に入れます。