我目前正在研究PCI合规性的关键管理系统。
密钥管理系统由应用程序托管。该应用程序托管在PCI兼容环境中。
如果远程托管“主密钥”的密钥服务器,它的环境是否也必须符合PCI标准?
我知道密钥管理系统本身必须托管在PCI兼容环境中,但我无法找到密钥服务器的任何具体证据。
对此主题的任何启示都将不胜感激。在这一点上我几乎已经完成了所有事情,但是想要确定关键服务器是否需要在硬件防火墙,搜索等等之后的确定答案......
答案 0 :(得分:0)
我的第一直觉是'是'。密钥服务器是密钥管理系统的一部分,因此应该在PCI安全环境中。
我可以看到使用远程密钥服务器如何增加复杂性。确保远程位置获得pci认证可能很困难,当然如果它是第三方托管环境的一部分。然而,在另一方面,如果做得正确(可靠的身份验证,安全套接字等),那么远程密钥服务器可能比本地密钥服务器更安全。
我认为值得与你的QSA讨论。不幸的是,如果您的QSA不同意,此处给出的任何建议都可能无效。