Является ли обратное прокси-устройство в локальной сети, должно быть совместимо с pci-dss.

Question

Мы создали обратное прокси-устройство (мост), которое передает все данные в и из сети. см. диаграмму ниже.

|------------------------LAN----------------------------| 
User --- Access Point --- Switch ---- Proxy --- Gateway --- WAN 

Предположим, что оплата делается через эту локальную сеть, но ни один из данных HTTPS не хранятся или обрабатываются на прокси-сервере.

Должен ли совместимый с PCI-DSS обратный прокси (использует Ubuntu 14.04 с мостовыми установками)?

Answer 1

Область применения - сложная часть PCI-DSS. Общее правило заключается в том, что если устройство может подключаться к CDE, оно находится в области видимости.

Самый простой способ понять это - выяснить, где находится ваш CDE, а затем изолировать его с помощью чрезвычайно ограничительного межсетевого экрана. Когда вы открываете порты брандмауэра, чтобы позволить сервисам (т. Е. Ваш обратный прокси) подключаться к CDE, добавьте эти службы в свою область. Альтернативно, вы могли бы пройти мысленный эксперимент. Если сильно злонамеренный актер взял под свой контроль устройство a, мог ли он/она передавать данные кредитной карты где-то в другом месте?