在规划我们平台的下一阶段时,我试图确保生产部署过程符合 PCI。
我们有一个充当 CMS 的中央平台,根据事件类型提供自定义内容,该平台将驻留在强化的 IIS 服务器/环境中。
每个新事件都有一个基本的初始屏幕和一个自定义域名,即 www.myevent1.com、www.myevent2.com 等。
问题是我们需要经常添加新域名。由于符合 PCI,我们不能让开发人员访问生产服务器。
PCI-DSS 6.4 状态:
分配到开发/测试环境的人员与分配到生产环境的人员之间的职责分离。
我正在尝试根据合规性规范保持任务分离。
因此,我的想法是按原样维护 CMS 服务器,完全加固 - 没有开发人员访问权限。然后有一个辅助 IIS 服务器,开发人员可以在其中根据需要添加新域,并上传链接到 CMS 内容的静态启动页面。
想法?
- 更新 -
我们将使用 PCI-DSS 4 级合规性,因此我们的服务器上不会有任何持卡人数据。付款处理器将拥有此信息。
是否真的需要在 CHD(持卡人数据)环境中安装 CMS?我们始终建议使 CHD 尽可能小。难道不能以另一种方式设计它,您的 PCI DSS 环境将只处理/传输/存储 CHD 并将某些东西作为“令牌”传递到外部(即 CMS)而不是将 CHD 直接存储在 CMS 中?
在这里很难推荐任何东西,因为我不知道您将 CHD 存储在哪里,它的目的是什么以及许多其他事情......
正如@ISMSDEV 所说,为什么开发人员应该访问这样的生产区域?开发人员开发代码,而应用管理员部署和维护代码。我看不出开发人员应该有权访问生产的任何理由......
顺便说一句,如果您设计 PCI DSS 环境并计划对其进行认证,我建议您聘请一些对其有深入了解的咨询公司/人员。它将对您有很大帮助,而且值得,因为要使所有内容都合规确实不容易。虽然我认为 PCI DSS 是我见过的最好的安全标准,但要满足其所有要求确实很困难。有时,即使您认为自己做的事情是正确的,审核员也会告诉您不可能那样做。仅仅是因为您错误地理解了需求,或者您看不到它的所有方面。如果他在您完成环境的完整设计、开发应用程序、编写文档并且您保留一切证据后告诉您,重做它是困难和昂贵的......
如果您不存储、处理或传输 CHD,则您无需以任何方式符合 PCI DSS。所以,你迷路了。
在这种情况下,每个新域都有一个静态启动页面,该页面指向 CMS 内容,只有在用户身份验证后才能访问。我们也可以直接从 CMS 提供这些静态页面,这样更好 - 无需分解。
因此,当我们注册一个新域时,我们可以对每个域使用隐身转发:www.ourcmsserver.com/SiteContent1、www.ourcmsserver.com/SiteContent2、www.ourcmsserver.com/SiteContent3 等或参数化的 www.ourcmsserver。 com?sitecontentID=1 等
由于用户必须登录,所以无论如何他们都不应该为特定页面添加书签,并且 URL 永远不会显示站点的目录/子结构,只会显示 www.mysite1.com、www.mysite2.com。
对此方法有何评论?