Соответствие PCI - не аутентифицированная БД
https://stackoverflow.com/questions/4269086
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я понятия не имею, куда пойти на вопросы соответствия PCI, поэтому я подумал, что дадут так выстрел. Если кто-то может указать мне в правильном направлении, где я могу задать вопросы, пожалуйста, поделитесь. Я буду рад отметить это как ответ.
Если сайт, совместимый PCI, подключается к базе данных, которая не хранит информацию о пользователе, но содержит HTML и JavaScript-фрагменты, которые могут получить рендуцию во время процесса оплаты, будет ли эта база данных, чтобы оставаться совместимой PCI? Я оцениваю MongoDB и обнаружил, что он не обеспечивает AUTH при настройке наборах реплики.
Решение
Несколько ответов на части:
- Как я сказал в моем комментарии вверху, я не QSA (конкретно не твой QSA), а не разрешено разрешать вам так или иначе. Для окончательного ответа вам нужно твой QSA подписать на нем. (Хм, Ianaqsa - это новый IANAL ....?)
- Строго говоря, PCI делает нет: «Аутентифицировать весь доступ к любой базе данных содержащие данные держателя карты"
- Хотя вам не понадобится аутентификация в БД, вы делать Необходимо разделить его на внутренней сети, отделенной из DMZ, согласно требованиям PCI DSS 1.3.7.
- Согласно требованию 6.1 вам все еще нужно обеспечить патчи (он упоминает базы данных, но ничего о Камин Базы данных).
- Все, что сказано, с точки зрения безопасности, вы должны учитывать, что пока воровство Данные из базы данных могут быть неэффективным, инъекция код в Ваша база данных может быть критической уязвимостью, ала постоянным XSS. Что, конечно, косвенно недействителю принсифицировать ваше соответствие PCI согласно требованию 6.5.1.
Опять же, вы можете получить лучшие ответы на http://security.stackexchance.com/ ...
Другие советы
Я собираюсь сказать нет за требования PCI: http://en.wikipedia.org/wiki/payment_card_industry_data_security_strandard_requirements.
Вы не кормите любую личную информацию в базе данных, и если вы защитите MongoDB с брандмауэрами и постоянно контролируете, вы можете соблюдать. Если вы очень беспокоитесь об этом, я бы провел аудиторскую фирму, чтобы проверить это.
