Каковы требования к безопасности сервера ключей для соответствия PCI (если он удаленный)?

Question

В настоящее время я изучаю ключевые системы управления на соответствие PCI.

Система управления ключами размещается вместе с приложением. Приложение размещено в PCI-совместимой среде.

При удаленном размещении сервера ключей, на котором размещен «мастер-ключ», должна ли его среда также соответствовать требованиям PCI?

Я знаю, что сама система управления ключами должна быть размещена в PCI-совместимой среде, но я не могу найти какое-либо конкретное доказательство тем или иным образом для сервера ключей.

Любой свет на эту тему будет высоко ценится. На данный момент у меня есть почти все, но я хочу получить точный ответ о том, должен ли сервер ключей находиться за аппаратным брандмауэром, проверяться на вирусы и т. Д., И т. Д. *

Answer 1

Мой первый инстинкт - «да». Сервер ключей является частью системы управления ключами и поэтому должен находиться в защищенной среде PCI.

Я вижу, как использование удаленного сервера ключей добавляет сложностей. Обеспечение того, чтобы удаленное местоположение было сертифицировано pci, может быть сложным, конечно, если оно является частью сторонней среды хостинга. С другой стороны, если все сделано правильно (надежная аутентификация, безопасные сокеты и т. Д.), То удаленный сервер ключей может быть более безопасным, чем локальный.

Действительно, я думаю, что стоит обсудить это с вашим QSA. К сожалению, любой совет, данный здесь, может быть аннулирован, если ваш QSA не согласен.