1. Accueil
  2. Question et réponse
  3. Conformité PCI - DB non authentifié

Conformité PCI - DB non authentifié

2010-11-24 38 views
2

Je n'ai aucune idée d'où aller pour les questions de conformité PCI, donc je pensais que je donnerais un coup de feu. Si quelqu'un peut me diriger dans la bonne direction de l'endroit où je peux aller poser des questions, s'il vous plaît partager. Je serai heureux de marquer cela comme une réponse.Conformité PCI - DB non authentifié

Si un site compatible PCI se connecte à une base de données ne contenant aucune information utilisateur mais contenant des extraits HTML et JavaScript susceptibles d'être restitués pendant le processus de paiement, cette base de données doit-elle être conforme à PCI? J'évalue MongoDB et trouve qu'il ne fournit pas d'authentification lorsqu'il est configuré avec des jeux de réplicas.

Source

2010-11-24 Bradford

+1

Je ne sais pas trop sur la conformité PCI, mais ne vous * vraiment * besoin des ensembles de réplique? Cela dit je crois qu'ils abordent cela dans la prochaine version ... http://jira.mongodb.org/browse/SERVER-1469 –

+1

Vous pourriez essayer de poster à http://security.stackexchange.com/, mais toute réponse vous obtenez (ici ou là) devra encore être validé par * votre * QSA. – AviD

+2

Il y a un bon forum pour cette question à http://www.pciknowledgebase.com/ et il a tendance à être fréquenté par les évaluateurs de sécurité qualifiés. En fait, l'un des sujets du forum est "Ask a QSA". –

Répondre

3

A plusieurs parties Réponse:

  • Comme je l'ai dit dans mon commentaire en haut, je ne suis pas un QSA (pas spécifiquement votre QSA), et non autorisé à vous permettre d'une façon ou l'autre. Pour une réponse définitive, vous avez besoin de votre QSA pour le déconnecter. (Hmm, IANAQSA est le nouveau IANAL ....?)
  • à proprement parler, PCI ne pas: « Authentifier tous les accès à une base de données contenant des données de titulaire »
  • Alors que vous ne pourriez pas besoin d'authentification à la DB, besoin de le séparer sur un réseau interne, séparé de la DMZ, conformément à la norme PCI DSS 1.3.7.
  • Conformément à l'exigence 6.1, vous devez toujours vous assurer des correctifs (il mentionne les bases de données, mais rien à propos des bases de données CHD).
  • Tout cela étant dit, du point de vue de la sécurité, vous devriez considérer que tout voler données de la base de données pourrait être un non-problème, injectent Code dans votre base de données pourrait être une vulnérabilité critique, ala persistante XSS. Ce qui, bien sûr, invaliderait indirectement votre conformité PCI, conformément à l'exigence 6.5.1.

Encore une fois, vous pourriez obtenir des meilleures réponses sur le http://security.stackexchance.com/ ...

Source

2010-11-25 13:07:32 AviD

 Questions connexes

  • Aucun problème connexe^_^