PCI 컴플라이언스 - 인증되지 않은 DB

Question

PCI 컴플라이언스 관련 질문은 어디에서 할 수 있을지 잘 모르겠습니다. 누군가 제가 질문을 할 수있는 곳으로 올바른 방향으로 나를 안내 할 수 있다면 공유하십시오. 그 점을 답으로 표시해 드리겠습니다.

PCI 호환 사이트가 사용자 정보를 저장하지 않지만 지불 프로세스 중에 렌더링 될 수있는 HTML 및 JavaScript 코드 단편을 포함하는 데이터베이스에 연결하는 경우이 데이터베이스는 PCI 준수를 유지하기 위해 인증을 받아야합니까? MongoDB를 평가 중이며 복제본 세트로 구성된 경우 인증을 제공하지 않는다는 사실을 발견했습니다. 당신은 데이터베이스에 개인 정보를 수용하지 않는 당신은 방화벽과 MongoDB를 보호하고 지속적으로 모니터링 할 경우, 당신이 준수 될 수 http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

:

Answer 1

여러 부분의 대답은 :

• 나는 내 댓글까지 상단에, 나는 QSA (특히하지 당신의 QSA) 아니다, 당신에게 방법은 하나 또는 다른을 허용 할 수있는 권한이 없습니다 말했듯. 확실한 답을 얻으려면 QSA가 필요합니다. 당신이에 인증이 필요하지 않을 수도 있지만
• "카드 소유자 데이터를가 포함 된 데이터베이스 에 대한 모든 액세스를 인증":
• 는 엄밀히 말하면, PCI는 이이없는 (? 흠, IANAQSA 새로운 IANAL는 ....입니다) DB가 있다면 을 수행하십시오.은 PCI DSS 요구 사항 1.3.7에 따라 DMZ와 분리 된 내부 네트워크에서이를 분리해야합니다.
• 요구 사항 6.1에 따르면 패치 (데이터베이스는 언급하지만 CHD 데이터베이스는 제외)가 필요합니다.
• 보안 관점에서, 당신은 데이터베이스에서 데이터를 훔치는 동안하는 영구 XSS 알라 이외의 문제, 가 중요한 취약점이 될 수 데이터베이스에 코드 를 주입 될 수 있음을 고려해야 말했다 모두. 물론 요구 사항 6.5.1에 ​​따라 PCI 준수를 간접적으로 무효화합니다.

다시 말하지만, 당신은

Answer 2

나는 PCI의 요구 사항에 따라 '아니오'라고해야 할거야 . 당신이 그것에 대해 상당히 걱정한다면 나는 그것을 감사하는 감사 회사를 얻을 것입니다.