Security PCI合规性-未经身份验证的数据库
我不知道去哪里问PCI合规性问题,所以我想我应该试一试。如果有人能给我指出我可以去哪里提问的正确方向,请分享。我也很乐意将此作为一个答案Security PCI合规性-未经身份验证的数据库,security,mongodb,pci-dss,pci-compliance,Security,Mongodb,Pci Dss,Pci Compliance,我不知道去哪里问PCI合规性问题,所以我想我应该试一试。如果有人能给我指出我可以去哪里提问的正确方向,请分享。我也很乐意将此作为一个答案 如果符合PCI标准的站点连接到一个数据库,该数据库不存储任何用户信息,但确实包含可能在支付过程中呈现的HTML和JavaScript片段,那么该数据库是否需要进行身份验证才能保持符合PCI标准?我正在评估MongoDB,发现它在配置副本集时不提供身份验证。根据PCI的要求,我不得不说不: 您在数据库中没有任何个人信息,如果您使用防火墙保护mongodb并持续监
如果符合PCI标准的站点连接到一个数据库,该数据库不存储任何用户信息,但确实包含可能在支付过程中呈现的HTML和JavaScript片段,那么该数据库是否需要进行身份验证才能保持符合PCI标准?我正在评估MongoDB,发现它在配置副本集时不提供身份验证。根据PCI的要求,我不得不说不:
您在数据库中没有任何个人信息,如果您使用防火墙保护mongodb并持续监视,则可能符合要求。如果你很担心的话,我会找一家审计公司来核实。答案有几个部分:
- 正如我在上面的评论中所说,我不是QSA(特别不是你们的QSA),也无权以任何方式允许你们。为了得到一个明确的答案,你需要你的QSA在上面签字。(嗯,IANAQSA是新的IANAL…?)
- 严格来说,PCI不会:“验证对任何包含持卡人数据的数据库的所有访问权限。”
- 虽然您可能不需要对DB进行身份验证,但您确实需要根据PCI DSS要求1.3.7在内部网络上将其与DMZ分离
- 根据需求6.1,您仍然需要确保补丁(它提到了数据库,但没有提到CHD数据库) 从安全的角度来看,你应该考虑到,从数据库中窃取数据可能不是问题,将代码注入到数据库中可能是一个关键的漏洞,ALA持久性XSS。根据第6.5.1条的要求,这当然会间接地使您的PCI合规性失效
同样,您可能会得到一些更好的答案……我对PCI法规遵从性了解不多,但您真的需要副本集吗?也就是说我相信他们会在下一个版本中解决这个问题。。。你可以试着在上发帖,但是你得到的任何答案(这里或那里)都需要经过你的QSA的验证。在上有一个很好的论坛来回答这个问题,而且往往有合格的安全评估师经常光顾。事实上,论坛的主题之一是“问一个QSA”。