我的开发人员正在自动化我们的月末流程。有一个小的手动步骤需要执行。
我们一直在考虑通过网络访问 PCI 的后果。查看 PCI 标准,特别是 1.1 阻止公众从公共互联网访问持卡人环境。
我读到如果我有客户端证书,这将不会被视为可公开访问。这会将其更多地置于 VPN 访问和相关规则的领域。
这听起来正确吗?还有什么我应该注意的额外问题吗?
编辑:
完美的。非常感谢。我确实有防火墙/ HIP / NDS /等。我认为证书身份验证(与普通密码身份验证一起)的方式将被用来代替完整的 VPN 隧道。证书身份验证将在防火墙处进行,以免任何危险进入内部网络。
您不能使用基于证书的身份验证来“隐藏”一台机器,就像 VPN 隐藏一台机器一样——这是 PCI 标准在 PCI-DSS 标准 v2.0 的第 1.3 节中的意图。
1.3. 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。
1.3中的每一个组件都是指避免与系统组件直接接触。直接联系意味着您的机器具有可公开访问的 IP,并且可以直接与之通信。基于证书的身份验证系统不排除第 1.3 节,因为它不提供针对操作系统/网络堆栈级别(或类似)漏洞的保护,这些漏洞可用于渗透和避开身份验证系统。
子要求继续描述为防止公共访问而必须采取的特定方法——干预网络级保护,如防火墙、VPN 等。
如果您尚未阅读它,请阅读“理解需求的意图”作为解释指南。1.3节的解释基本上就是我上面所说的:
防火墙的目的是管理和控制公共系统和内部系统之间的所有连接(尤其是那些存储、处理或传输持卡人数据的系统)。如果允许在公共系统和 CDE 之间进行直接访问,防火墙提供的保护就会被绕过,并且存储持卡人数据的系统组件可能会受到威胁。
最终,这意味着只要您的手动系统受到干预安全防火墙或其他也符合第 1 节(全部)中规定的要求的屏蔽解决方案(例如 VPN)的保护,那么您应该没问题。您甚至不需要使用基于证书的解决方案,只要所有其他识别和身份验证部分都按照 PCI 标准安全实施。