Je n'ai aucune idée d'où aller pour les questions de conformité PCI, donc je pensais que je donnerais un coup de feu. Si quelqu'un peut me diriger dans la bonne direction de l'endroit où je peux aller poser des questions, s'il vous plaît partager. Je serai heureux de marquer cela comme une réponse.Conformité PCI - DB non authentifié
Si un site compatible PCI se connecte à une base de données ne contenant aucune information utilisateur mais contenant des extraits HTML et JavaScript susceptibles d'être restitués pendant le processus de paiement, cette base de données doit-elle être conforme à PCI? J'évalue MongoDB et trouve qu'il ne fournit pas d'authentification lorsqu'il est configuré avec des jeux de réplicas.
Je ne sais pas trop sur la conformité PCI, mais ne vous * vraiment * besoin des ensembles de réplique? Cela dit je crois qu'ils abordent cela dans la prochaine version ... http://jira.mongodb.org/browse/SERVER-1469 –
Vous pourriez essayer de poster à http://security.stackexchange.com/, mais toute réponse vous obtenez (ici ou là) devra encore être validé par * votre * QSA. – AviD
Il y a un bon forum pour cette question à http://www.pciknowledgebase.com/ et il a tendance à être fréquenté par les évaluateurs de sécurité qualifiés. En fait, l'un des sujets du forum est "Ask a QSA". –