우리는 현재 신용 카드 데이터를 처리하지만 저장하지는 않습니다. 우리는 authorize.net API를 사용하여 자체 개발 된 응용 프로그램을 통해 카드를 인증합니다.
가능하면 서버에 영향을 미치는 PCI의 모든 요구 사항 (예 : 안티 바이러스 설치)을 격리 된 별도의 환경으로 제한하려고합니다. 규정 준수를 유지하면서 그렇게 할 수 있습니까?
그렇다면 무엇이 충분한 격리를 구성합니까? 그렇지 않은 경우 해당 범위가 명확하게 정의 된 곳이 있습니까?
답변
마지막으로 PCI 표준을 읽었을 때, 격리 요구 사항을 잘 설명했습니다 (PCI 언어의 기술 용어 는 PCI 호환 환경 의 범위 를 줄이는 것입니다). 명백히 호환되지 않는 서버가 준수 영역에 액세스 할 수없는 경우에는 비행해야합니다. 이는 일반 네트워크에서 완전히 방화벽 처리 된 네트워크 세그먼트이며 해당 방화벽의 규칙 자체는 PCI와 호환됩니다.
우리는 저의 옛 직장에서 똑같은 일을했습니다.
염두에 두어야 할 핵심 사항 은 PCI 호환 영역의 관점 에서 볼 때 영역에 포함되지 않은 모든 항목은 회사 IP를 저장하는 동일한 네트워크인지 여부에 관계없이 공용 인터넷처럼 취급되어야한다는 것입니다. 그렇게하는 한 잘 지내야합니다.
답변
이것은 실제로 매우 일반적입니다. 우리는 일상적으로 컴퓨터를 “범위 내 PCI”로 지칭 / 지정합니다.
또한 “명확하게”는 때때로 PCI 사전의 일부가 아닙니다. 언어가 모호 할 수 있습니다. 제안 된 솔루션이 효과가 있는지 감사 자에게 문의하는 것이 가장 간단한 방법 일 수 있습니다. PCI-DSS V2에서 다음을 고려하십시오.
“적절한 네트워크 세분화 (“플랫 네트워크 “라고도 함)없이 전체 네트워크는 PCI DSS 평가 범위 내에 있습니다. 네트워크 세분화는 올바르게 구성된 내부 네트워크 방화벽, 강력한 액세스 제어 목록 또는 네트워크의 특정 세그먼트에 대한 액세스를 제한하는 기타 기술 ”
정상적인 네트워크 스위치가 요구 사항을 충족한다는 의미입니까? 그들이 그렇게 말하기는 쉽지만 거기에 있습니다. “네트워크의 특정 세그먼트에 대한 액세스를 제한하는 다른 기술”입니다. 범위에 대한 또 다른 즐겨 찾기 :
“… 응용 프로그램에는 내부 및 외부 (예 : 인터넷) 응용 프로그램을 포함하여 구매 한 모든 사용자 정의 응용 프로그램이 포함됩니다.”
AD 부분에 대해서는 잘 모르겠지만 모든 DC에 HIDS 및 바이러스 백신이 있으므로 그럴 가능성이 있습니다.