Payment Card Industry DSS - Хранение данных держателя карты в системах, не подключенных к Интернету

Question

Справочная информация

Несмотря на то, что я просмотрел некоторые сообщения о переполнении стека, которые частично охватывают этот вопрос, я все еще не нашел ни одного, который содержал бы исчерпывающий вопрос / ответ.

КакРазработчик POS-систем PCI DSS имеет два компонента, которые меня интересуют:

• PA DSS (Платежное приложение), которое касается программного обеспечения, которое я разрабатываю
• PCI DSS (Продавцы)), что касается всех моих клиентов, использующих программное обеспечение

PA DSS, по-видимому, ставит точку зрения наиболее прямо:

"9.1 Платежное приложение должно быть разработано так, чтобы сервер базы данных ивеб-сервер не обязательно должен находиться на одном сервере, а сервер базы данных не должен находиться в демилитаризованной зоне вместе с веб-сервером "

Процедуры тестирования:

9.1.a Чтобы убедиться, чтоплатежное приложение хранит данные о держателе карты во внутренней сети, а не в DMZ, получая доказательства того, что платежное приложение не требует хранения данных в DMZ, и позволитиспользование DMZ для отделения Интернета от систем, хранящих данные держателя карты (например, платежное приложение не должно требовать, чтобы сервер базы данных и веб-сервер находились на одном сервере или в DMZ с веб-сервером).

9.1.b Если клиенты могут хранить данные о держателях карт на сервере, подключенном к Интернету, изучите Руководство по внедрению PA-DSS, подготовленное поставщиком, чтобы проверить, что клиентам и посредникам / интеграторам рекомендуется не хранить данные о держателях карт в системах, доступных через Интернет (например, веб-сервер).и сервер базы данных не должен находиться на одном сервере).

А из PCI DSS продавца:

1.3.5 Ограничить исходящий трафик из среды данных держателей карт в Интернет, чтобы исходящий трафик мог толькополучить доступ к IP-адресам в демилитаризованной зоне.

Вопрос

Мой вопрос довольно прост - могут ли база данных и сервер приложений логически различаться (в разных виртуализированных ОС) или физически (в разных)физические / выделенные серверы)?

Кроме того, меня немного беспокоит необходимость размещения сервера базы данных без какого-либо подключения к Интернету.Как я должен управлять этим сервером удаленно?Или это нормально для доступа к серверу базы данных через сервер приложений - хотя, безусловно, это побеждает цель?

Answer 1

К сожалению, простого ответа нет.

SSC выпустил новое приложение по виртуализации, в котором содержится некоторая соответствующая информация: https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

Хотя смешение гостевых ОС с различными функциями на одном и том же гипервизоре не запрещено, вам нужно будет показать, что вы думали о дополнительном риске, который это приносит.

Они также должны быть логически разделены с сетевым трафиком от одной виртуальной машины к другой, проходящей через какой-либо межсетевой экран для защиты различных ОС и приложений. Пребывание на одном физическом хосте не является оправданием для пропуска элементов управления, таких как брандмауэр, поэтому вам, возможно, придется проявить творческий подход к выполнению этих требований.