Conformidade com PCI - DB não autenticado
https://stackoverflow.com/questions/4269086
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Não tenho idéia de onde ir para perguntas de conformidade com PCI, então pensei em dar uma chance. Se alguém puder me apontar na direção certa de onde posso fazer perguntas, compartilhe. Ficarei feliz em marcar isso como uma resposta também.
Se um site compatível com PCI se conectar a um banco de dados que não armazena informações do usuário, mas contém trechos HTML e JavaScript que poderiam ser renderizados durante o processo de pagamento, esse banco de dados precisaria ter autenticação para permanecer compatível com PCI? Estou avaliando o MongoDB e descobri que ele não fornece auth quando configurado com conjuntos de réplicas.
Solução
Uma resposta de várias partes:
- Como eu disse no meu comentário no topo, não sou um QSA (especificamente não sua Qsa), e não está autorizado a permitir a você de uma maneira ou de outra. Para uma resposta definitiva que você precisa sua QSA para assinar nele. (Hmm, Ianaqsa é o novo Ianal ....?)
- Estritamente falando, PCI faz não: "Autentique todo o acesso a qualquer banco de dados contendo dados do titular do cartão"
- Embora você possa não precisar de autenticação para o banco de dados, você Faz precisa segregá -lo em uma rede interna, separada do DMZ, conforme o requisito do PCI DSS 1.3.7.
- De acordo com o requisito 6.1, você ainda precisa garantir patches (ele menciona bancos de dados, mas nada sobre CHD bancos de dados).
- Tudo isso dito, do ponto de vista da segurança, você deve considerar que enquanto roubando Dados do banco de dados podem ser um problema, injeção código em Seu banco de dados pode ser uma vulnerabilidade crítica, ALA persistente XSS. O que obviamente invalidaria indiretamente sua conformidade com o PCI, conforme o requisito 6.5.1.
Novamente, você pode obter algumas respostas melhores sobre http://security.stackexchance.com/ ...
Outras dicas
Vou ter que dizer não, de acordo com os requisitos do PCI: http://en.wikipedia.org/wiki/payment_card_industry_data_security_standard#requiements
Você não está abrigando nenhuma informação pessoal no banco de dados e, se proteger o MongoDB com firewalls e monitorar continuamente, poderá estar em conformidade. Se você estiver bastante preocupado com o fato de eu conseguir uma empresa de auditoria para conferir.
