我们创建了一个反向代理设备(网桥),可以将所有数据传入和传出网络。见下图。
|------------------------LAN----------------------------|
User --- Access Point --- Switch ---- Proxy --- Gateway --- WAN
假设通过该LAN完成付款,但代理中没有存储或处理任何HTTPS数据。
反向代理(使用带有bridge-utils的Ubuntu 14.04)是否需要符合PCI-DSS标准?
答案 0 :(得分:0)
范围是PCI-DSS的一个复杂部分。一般规则是,如果设备可以连接到CDE,则它在范围内。
解决这个问题的最简单方法是弄清楚CDE的确切位置,然后用极其严格的防火墙隔离它。当您打开防火墙端口以允许服务(即 - 您的反向代理)连接到CDE时,请将这些服务添加到您的范围。或者,您可以通过思考实验。如果一个高度恶意的演员控制了设备a,他/她可以在其他地方引导信用卡数据吗?