PCI合规性 - 未经过身份验证的DB

时间:2010-11-24 16:29:57

标签: security mongodb pci-dss pci-compliance

我不知道在哪里可以找到PCI合规性问题,所以我想我会试一试。如果有人能指出我可以去问问题的正确方向,请分享。我也很乐意将此作为答案。

如果PCI兼容站点连接到不存储用户信息的数据库,但确实包含可能在付款过程中呈现的HTML和JavaScript代码段,那么此数据库是否需要进行身份验证才能保持PCI兼容?我正在评估MongoDB,发现在配置副本集时它不提供auth。

2 个答案:

答案 0 :(得分:3)

几部分答案:

  • 正如我在评论中所说,我不是QSA(特别是你的 QSA),并且没有授权允许你这样或那样。要获得明确答案,您需要您的 QSA来签署。 (嗯,IANAQSA是新的IANAL ....?)
  • 严格来说,PCI :“验证对包含持卡人数据的任何数据库的所有访问
  • 虽然您可能不需要对数据库进行身份验证,但您 需要根据PCI DSS要求1.3.7将其与内部网络隔离,并与DMZ分离。
  • 根据要求6.1,你仍然需要确保补丁(它提到数据库,但没有关于 CHD 数据库)。
  • 所有这一切,从安全的角度来看,您应该考虑到从数据库中窃取数据可能不是问题, 代码注入 / em>您的数据库可能是一个关键漏洞,ala Persistent XSS。根据要求6.5.1,这当然会间接使您的PCI合规性无效。

同样,您可以在http://security.stackexchance.com/ ...

上找到更好的答案

答案 1 :(得分:1)

我不得不根据PCI的要求说不:http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard#Requirements

您没有在数据库中存储任何个人信息,如果您使用防火墙保护mongodb并持续监控,您可能会遵守规定。如果你非常担心我会让一家审计公司检查一下。