我们目前处理但不存储信用卡数据。我们通过使用 authorize.net API 的自主开发应用程序授权信用卡。
如果可能的话,我们希望限制影响我们服务器(例如安装防病毒软件)到隔离的单独环境。是否可以在保持合规性的同时做到这一点?
如果是,那么什么才算是充分隔离?如果不是,那么是否有明确定义该范围的地方?
答案1
上次我读 PCI 标准时,他们对隔离要求有很好的阐述(PCI 语言中的技术术语是减少范围PCI 合规环境)。只要那些明显不合规的服务器无法访问合规区域,它就应该可以运行。那将是一个完全与正常网络隔离的网段,并且该防火墙上的规则本身符合 PCI 合规性。
在我以前的工作中我们也做过同样的事情。
要记住的关键是从 PCI 合规区域的角度来看不在区域中的所有内容都将被视为公共互联网,无论它是否也是存储您公司 IP 的同一网络。只要您这样做,就没问题。
答案2
这其实很常见。我们经常将计算机称为“PCI 范围内的计算机”。
此外,“显然”有时不属于 PCI 词汇的一部分。语言可能含糊不清。我们发现有时最简单的方法是询问审计员建议的解决方案是否可行。请考虑 PCI-DSS V2 中的以下内容:
“如果没有足够的网络分段(有时称为“平面网络”),整个网络都会受到 PCI DSS 评估。网络分段可以通过多种物理或逻辑方式实现,例如正确配置的内部网络防火墙、具有强大访问控制列表的路由器或其他限制对网络特定段的访问的技术。”
这是否意味着普通的网络交换机满足要求?他们说起来容易,但事实就是如此。这是“限制对网络特定部分的访问的其他技术”。我最喜欢的关于范围的另一个说法是:
“...应用程序包括所有购买和定制的应用程序,包括内部和外部(例如,互联网)应用程序。”
我不确定 AD 部分,但我们所有的 DC 上都有 HIDS 和防病毒软件,所以我怀疑可能是这样。