我们目前处理但不存储信用卡数据。我们使用 authorize.net API 通过自行开发的应用程序对卡进行授权。
如果可能,我们希望将影响我们服务器(例如安装 Anti-Virus)的 PCI 的所有要求限制在一个隔离的单独环境中。在保持合规性的同时可以做到吗?
如果是这样,什么才能构成足够的隔离?如果没有,是否有明确定义该范围的地方?
我上次阅读 PCI 标准时,他们对隔离要求进行了很好的说明(PCI 语言中的技术术语是缩小PCI 兼容环境的范围)。只要那些公然不合规的服务器对合规区域的访问权限为零,它就应该正常运行。那将是一个与您的正常网络完全隔离的网段,并且该防火墙上的规则本身就是 PCI 兼容的。
在我以前的工作中,我们自己也做了很多相同的事情。
要记住的关键是,从 PCI 兼容区域的角度来看,不在该区域中的所有内容都将被视为公共 Internet,无论它是否也是存储您公司 IP 的同一个网络。只要你这样做,你应该是好的。
这实际上很常见。我们通常将计算机称为/指定为“PCI 范围内”。
此外,“显然”有时不是 PCI 词典的一部分。语言可能含糊不清。我们发现,有时最简单的方法是询问审计员所提议的解决方案是否可行。考虑 PCI-DSS V2 中的以下内容:
“如果没有足够的网络分段(有时称为“扁平网络”),整个网络都在 PCI DSS 评估的范围内。网络分段可以通过多种物理或逻辑手段来实现,例如正确配置的内部网络防火墙、具有强大的访问控制列表,或其他限制对网络特定部分的访问的技术。”
这是否意味着普通的网络交换机满足要求?他们这么说很容易,但你去了。它是“限制对网络特定部分的访问的其他技术”。关于范围的另一个我最喜欢的:
“ ...应用程序包括所有购买的和自定义的应用程序,包括内部和外部(例如 Internet)应用程序。”
我不确定 AD 部分,但我们在所有 DC 上都有 HIDS 和防病毒软件,所以我怀疑它可能是。