PCIコンプライアンス - 非認証DB

Question

PCIコンプライアンスに関する質問はどこに行かないのか分かりませんので、私はショットをつけると思います。誰かが私が質問するために行くことができる場所の正しい方向に私を向けることができる場合、共有してください。私はそれを答えとしてマークすることも喜んでします。

PCI準拠のサイトが、ユーザー情報を格納していないが支払い処理中にレンダリングされる可能性のあるHTMLおよびJavaScriptスニペットを含むデータベースに接続する場合、このデータベースはPCI準拠のままにする必要がありますか？私はMongoDBを評価しており、レプリカセットで構成されている場合は認証を提供しないことがわかりました。

Answer 1

いくつかの部分の答え：私は私のコメントアップトップに述べたよう

• 、私はQSA（特にないあなた QSA）はないですし、あなたに1つの方法または他のを許可する権限がありません。決定的な回答を得るには QSAがサインオフする必要があります。あなたが認証を必要としないかもしれないが
• 「カード会員データを含む任意のデータベースへのすべてのアクセスを認証」：
• は、厳密に言えば、PCIはがはしない（？うーん、IANAQSAは新しいIANALは....です） DBでは、を実行します。は、PCI DSS要件1.3.7に従ってDMZから分離した内部ネットワーク上でそれを分離する必要があります。
• 要件6.1によれば、パッチを保証する必要があります（データベースには言及していますが、CHDデータベースについては何もありません）。
• セキュリティの観点から、あなたはデータベースからデータを盗むながらすることは非問題になる可能性があることを考慮すべきである、と述べたことすべて、注入コードにあなたのデータベースが永続XSSたala、重大な脆弱性である可能性があります。もちろん、要件6.5.1に従ってPCIコンプライアンスを間接的に無効にします。

ここでも、あなたは

Answer 2

私はPCIの要件ごとにノーと言っているつもりです：http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

あなたは、データベース内の任意の個人情報を収容していない、あなたはファイアウォールでのMongoDBを保護し、継続的に監視している場合、あなたは、コンプライアンスにあってもよいです。あなたがそれについてかなり心配しているなら、私は監査会社にそれをチェックアウトさせるでしょう。