2

PCI コンプライアンスに関する質問はどこに行けばいいのかわからないので、SO を試してみようと思いました。誰かが私が質問できる正しい方向に私を向けることができれば、共有してください. それも答えとしてマークしていただければ幸いです。

PCI 準拠のサイトが、ユーザー情報を格納していないが、支払いプロセス中にレンダリングされる可能性のある HTML および JavaScript スニペットを含むデータベースに接続する場合、このデータベースは PCI 準拠を維持するために認証を受ける必要がありますか? MongoDB を評価していますが、レプリカ セットで構成すると認証が提供されないことがわかりました。

4

2 に答える 2

3

いくつかの部分の答え:

  • 一番上のコメントで述べたように、私は QSA ではなく (具体的にはあなたのQSA ではありません)、何らかの方法であなたを許可する権限はありません。決定的な回答を得るには、 QSA が承認する必要があります。(うーん、IANAQSA は新しい IANAL です....?)
  • 厳密に言えば、PCI は「カード会員データを含むデータベースへのすべてのアクセスを認証する」ことはしません。
  • DB への認証は不要かもしれませんが、PCI DSS 要件 1.3.7 に従って、DMZ から分離された内部ネットワーク上で分離する必要があります
  • 要件 6.1 によると、パッチを確実にする必要があります (データベースについては言及されていますが、CHDデータベースについては何も言及されていません)。
  • とはいえ、セキュリティの観点からは、データベースからデータを盗むことは問題にならないかもしれませんが、データベースにコードを挿入することは重大な脆弱性である可能性があることを考慮する必要があります.ala Persistent XSS. もちろん、要件 6.5.1 に従って、これは PCI コンプライアンスを間接的に無効にします。

繰り返しになりますが、 http://security.stackexchance.com/でより良い回答が得られる可能性があります...

于 2010-11-25T13:07:32.010 に答える
1

PCI の要件に従って、ノーと言わなければなりません: http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

データベースに個人情報を格納しておらず、mongodb をファイアウォールで保護し、継続的に監視している場合は、準拠している可能性があります。そんなに気になるなら監査法人に聞いてみたら?

于 2010-11-25T05:36:04.907 に答える