我不知道去哪里解决 PCI 合规性问题,所以我想我会试一试。如果有人能指出我可以去哪里提问的正确方向,请分享。我也很乐意将其标记为答案。
如果一个符合 PCI 的站点连接到一个不存储用户信息但包含可能在支付过程中呈现的 HTML 和 JavaScript 片段的数据库,该数据库是否需要进行身份验证才能保持 PCI 兼容?我正在评估 MongoDB,发现它在配置副本集时不提供身份验证。
问问题
1053 次
2 回答
3
几个部分的答案:
- 正如我在上面的评论中所说,我不是 QSA(特别是不是您的QSA),也无权以一种或另一种方式允许您。要获得明确的答案,您需要您的QSA 在其上签字。(嗯,IANAQSA 是新的 IANAL ......?)
- 严格来说,PCI没有:“验证对包含持卡人数据的任何数据库的所有访问权限”
- 虽然您可能不需要对数据库进行身份验证,但您确实需要根据 PCI DSS 要求 1.3.7 将其隔离在与 DMZ 分开的内部网络上。
- 根据要求 6.1,您仍然需要确保补丁(它提到了数据库,但没有关于CHD数据库)。
- 综上所述,从安全的角度来看,您应该考虑虽然从数据库中窃取数据可能不是问题,但将代码注入您的数据库可能是一个严重的漏洞,例如 Persistent XSS。根据要求 6.5.1,这当然会间接地使您的 PCI 合规性无效。
同样,您可能会在http://security.stackexchance.com/上得到一些更好的答案...
于 2010-11-25T13:07:32.010 回答
1
我将不得不根据 PCI 的要求说不:http ://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements
您没有在数据库中保存任何个人信息,如果您使用防火墙保护 mongodb 并持续监控,您可能会合规。如果您对此非常担心,我会找一家审计公司检查一下。
于 2010-11-25T05:36:04.907 回答