【问题标题】:PCI Compliance - Non authenticated DBPCI 合规性 - 未经身份验证的数据库
【发布时间】:2011-05-15 05:19:06
【问题描述】:

我不知道去哪里解决 PCI 合规性问题,所以我想我会试一试。如果有人能指出我可以去哪里提问的正确方向,请分享。我也很乐意将其标记为答案。

如果一个符合 PCI 的站点连接到一个不存储用户信息但包含可能在支付过程中呈现的 HTML 和 JavaScript sn-ps 的数据库,该数据库是否需要进行身份验证才能保持符合 PCI 的要求?我正在评估 MongoDB,发现它在配置副本集时不提供身份验证。

【问题讨论】:

  • 我不太了解 PCI 合规性,但您真的需要副本集吗?也就是说,我相信他们会在下一个版本中解决这个问题......jira.mongodb.org/browse/SERVER-1469
  • 您可以尝试在security.stackexchange.com 发帖,但您获得的任何答案(此处或此处)仍需要由您的 QSA 验证。
  • pciknowledgebase.com 有一个很好的论坛可以解决这个问题,合格的安全评估员往往会经常光顾。事实上,论坛主题之一是“询问 QSA”。

标签: security mongodb pci-dss pci-compliance


【解决方案1】:

几个部分的答案:

  • 正如我在上面的评论中所说,我不是 QSA(特别是不是您的 QSA),也无权以一种或另一种方式允许您。要获得明确的答案,您需要您的 QSA 签字。 (嗯,IANAQSA 是新的 IANAL ......?)
  • 严格来说,PCI不是:“验证对包含持卡人数据的任何数据库的所有访问权限”
  • 虽然您可能不需要对数据库进行身份验证,但您确实需要根据 PCI DSS 要求 1.3.7 将其隔离在与 DMZ 分开的内部网络上。
  • 根据要求 6.1,您仍然需要确保补丁(它提到了数据库,但没有提到 CHD 数据库)。
  • 话虽如此,从安全的角度来看,您应该考虑到虽然 窃取 数据库中的数据可能不是问题,但 注入 代码 到 你的数据库可能是一个严重的漏洞,比如 Persistent XSS。根据要求 6.5.1,这当然会间接使您的 PCI 合规性无效。

同样,您可能会在http://security.stackexchance.com/ 上得到一些更好的答案...

【讨论】:

    【解决方案2】:

    我将不得不根据 PCI 的要求说不:http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

    您没有在数据库中保存任何个人信息,如果您使用防火墙保护 mongodb 并持续监控,您可能会合规。如果您对此非常担心,我会找一家审计公司检查一下。

    【讨论】:

      猜你喜欢
      • 2020-09-24
      • 1970-01-01
      • 2020-08-02
      • 2020-05-10
      • 1970-01-01
      • 2018-08-25
      • 2020-03-06
      • 2021-01-22
      • 2019-09-25
      相关资源
      最近更新 更多