1. дома
  2. Вопрос и ответ
  3. PCI Compliance - не прошедшая проверку подлинности DB

PCI Compliance - не прошедшая проверку подлинности DB

2010-11-24 2 views
2

Я не знаю, куда идти по вопросам соблюдения PCI-совместимости, поэтому я подумал, что я бы дал ТАК выстрел. Если кто-то может указать мне в правильном направлении, куда я могу пойти, чтобы задать вопросы, пожалуйста, поделитесь. Я буду рад отметить это как ответ.PCI Compliance - не прошедшая проверку подлинности DB

Если сайт, совместимый с PCI, подключается к базе данных, которая не содержит информации о пользователе, но содержит фрагменты HTML и JavaScript, которые могут быть отображены во время процесса оплаты, будет ли эта база данных иметь аутентификацию, чтобы оставаться совместимой с PCI? Я оцениваю MongoDB и обнаружил, что он не предоставляет auth при настройке с наборами реплик.

источник

2010-11-24 Bradford

+1

Я не знаю слишком много о соответствии PCI, но вы * действительно * нужны наборы реплик? Тем не менее, я считаю, что они обращаются к этому в следующей версии ... http://jira.mongodb.org/browse/SERVER-1469 – 2010-11-25 03:16:11

ответ

3

несколько части ответа:

  • Как я уже сказал в моем комментарии до верхнего, я не QSA (специально не вашего QSA) и не уполномочен разрешать вам одну или другие. Для окончательного ответа вам нужно ваш QSA, чтобы его выписать. (Хм, IANAQSA это новый IANAL ....?)
  • Строго говоря, PCI делает не: «Аутентифицировать весь доступ к любой базе данных, содержащей данные о держателях карт»
  • Хотя вы, возможно, не потребуется проверка подлинности на DB, вы должны сделать необходимо отделить его во внутренней сети, отделенной от DMZ, в соответствии с требованием PCI DSS 1.3.7.
  • В соответствии с требованием 6.1 вам все равно необходимо обеспечить исправления (он упоминает базы данных, но ничего не содержит базы данных CHD).
  • Все, что сказал, с точки зрения безопасности, следует учитывать, что при краже данных из базы данных может быть не проблемой, инъекционным кода в базы данных может быть критической уязвимостью, ала Persistent XSS. Это, конечно же, косвенно приведет к недействительности вашего соответствия PCI согласно требованиям 6.5.1.

Опять же, вы можете получить некоторые лучшие ответы на более http://security.stackexchance.com/ ...

источник

2010-11-25 13:07:32 AviD

1

Я собираюсь должен сказать, не в соответствии с требованиями PCI: http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

Вы не ЖИЛИЩНЫ личной информации в базе данных и если вы защищаете MongoDB с брандмауэрами и постоянно контролировать, вы можете быть в соответствии , Если вы очень беспокоитесь об этом, я бы попросил аудиторскую фирму проверить это.

источник

2010-11-25 05:36:04 nictrix

 Смежные вопросы

  • Нет связанных вопросов^_^