Соответствие PCI - БД без аутентификации - PullRequest
Новая
       31

Соответствие PCI - БД без аутентификации

2 голосов
/ 24 ноября 2010

Я понятия не имею, куда обратиться за вопросами о соответствии PCI, поэтому я подумал, что я бы дал ТАК шанс.Если кто-то может указать мне правильное направление, куда я могу пойти, чтобы задать вопросы, пожалуйста, поделитесь.Я буду рад отметить это как ответ.

Если сайт, совместимый с PCI, подключается к базе данных, в которой нет информации о пользователе, но содержит фрагменты HTML и JavaScript, которые могут отображаться во время процесса оплатынужна ли этой базе данных аутентификация для соответствия PCI?Я оцениваю MongoDB и обнаружил, что он не обеспечивает аутентификацию при настройке с наборами реплик.

Ответы [ 2 ]

3 голосов
/ 25 ноября 2010

Ответ из нескольких частей:

  • Как я уже сказал в своем комментарии вверху, я не QSA (в частности, не ваш QSA) и не уполномочен разрешать вам так или иначе. Для окончательного ответа вам нужно ваш QSA, чтобы подписать его. (Хм, IANAQSA - это новый IANAL ....?)
  • Строго говоря, PCI не : «Аутентифицирует весь доступ к любой базе данных , содержащей данные владельца карты »
  • Хотя вам может не потребоваться Аутентификация для БД, вам нужно необходимо отделить ее от внутренней сети, отделенной от DMZ, в соответствии с требованием PCI DSS 1.3.7.
  • В соответствии с требованием 6.1 вам все еще необходимо обеспечить исправления (в нем упоминаются базы данных, но ничего не говорится о CHD базах данных).
  • Все это говорит с точки зрения безопасности, вы должны учитывать, что хотя кража данных из базы данных может быть не проблема, внедрение код в Ваша база данных может быть критической уязвимостью, а именно Persistent XSS. Что, конечно, косвенно сделает недействительным ваше соответствие PCI, согласно требованию 6.5.1.

Опять же, вы могли бы получить лучшие ответы на http://security.stackexchance.com/ ...

1 голос
/ 25 ноября 2010

Я собираюсь сказать «нет» в соответствии с требованиями PCI: http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

Вы не храните личную информацию в базе данных, и если вы защищаете mongodb с помощью брандмауэров и постоянно отслеживаете, вы можетебыть в соответствии.Если вас это беспокоит, я бы попросил аудиторскую фирму проверить это.

...