提取数据进行分析时的 PCI DSS 合规性
PCI DSS Compliance when extracting data for analysis
场景如下:我有 2 个子网。 1 个符合 PCI DSS,另一个不符合。
我可以将数据从 PCI 兼容子网提取到不兼容的子网中以在 Kafka 上处理吗?
tl;博士
必须分析的数据位于兼容子网上。
Kafka 位于不兼容的子网上。
PCI DSS 并不真正关心您使用的是什么技术,因此涉及 Kafka 的事实没有任何区别。重要的是您正在处理的数据是否包含使 PCI DSS 适用的付款详细信息。
如果是,则处理该数据的任何事物都必须符合 PCI DSS。如果您可以 100% 保证它不存在(并且 不能),那么 PCI DSS 不适用。
从逻辑上讲,如果不是第一种情况,所有的保护都将毫无意义,因为攻击者可以忽略受保护的服务器并从未受保护的服务器上获取相同的数据;如果不是第二种情况,您将永远无法知道是否已付款,因为受保护的服务器将无法向您发送该数据。
请注意,这仅适用于数据从兼容子网推出的情况。如果 Kafka 可以“进入”并 拉取 数据,即使它在正常情况下不拉取支付数据,它也可能在范围内,因为理论上攻击者可以破坏连接。
如果您从不兼容的子网 (non-cde-subnet) 访问符合 PCI DSS 的子网 (cde-subnet),则 non-cde-subnet 被视为“连接到 and/or安全影响系统”,因为它满足以下条件:
System component is on a different network (or
subnet or VLAN), but can connect to or access the
CDE (e.g., via internal network connectivity).
遵循 PCI 文档:
The following scoping concepts always apply:
- Systems located within the CDE are in scope, irrespective of their functionality or the reason why they are in the CDE.
- Similarly, systems that connect to a system in the CDE are in scope, irrespective of their functionality or the reason they have connectivity to the CDE.
- In a flat network, all systems are in scope if any single system stores, processes, or transmits account data
文档:https://www.pcisecuritystandards.org/documents/Guidance-PCI-DSS-Scoping-and-Segmentation_v1.pdf
您可以将 Kafka 移动到兼容 pci 的子网,或者您需要对当前不兼容的子网进行一些更改。
场景如下:我有 2 个子网。 1 个符合 PCI DSS,另一个不符合。 我可以将数据从 PCI 兼容子网提取到不兼容的子网中以在 Kafka 上处理吗?
tl;博士 必须分析的数据位于兼容子网上。 Kafka 位于不兼容的子网上。
PCI DSS 并不真正关心您使用的是什么技术,因此涉及 Kafka 的事实没有任何区别。重要的是您正在处理的数据是否包含使 PCI DSS 适用的付款详细信息。
如果是,则处理该数据的任何事物都必须符合 PCI DSS。如果您可以 100% 保证它不存在(并且 不能),那么 PCI DSS 不适用。
从逻辑上讲,如果不是第一种情况,所有的保护都将毫无意义,因为攻击者可以忽略受保护的服务器并从未受保护的服务器上获取相同的数据;如果不是第二种情况,您将永远无法知道是否已付款,因为受保护的服务器将无法向您发送该数据。
请注意,这仅适用于数据从兼容子网推出的情况。如果 Kafka 可以“进入”并 拉取 数据,即使它在正常情况下不拉取支付数据,它也可能在范围内,因为理论上攻击者可以破坏连接。
如果您从不兼容的子网 (non-cde-subnet) 访问符合 PCI DSS 的子网 (cde-subnet),则 non-cde-subnet 被视为“连接到 and/or安全影响系统”,因为它满足以下条件:
System component is on a different network (or subnet or VLAN), but can connect to or access the CDE (e.g., via internal network connectivity).
遵循 PCI 文档:
The following scoping concepts always apply:
- Systems located within the CDE are in scope, irrespective of their functionality or the reason why they are in the CDE.
- Similarly, systems that connect to a system in the CDE are in scope, irrespective of their functionality or the reason they have connectivity to the CDE.
- In a flat network, all systems are in scope if any single system stores, processes, or transmits account data
文档:https://www.pcisecuritystandards.org/documents/Guidance-PCI-DSS-Scoping-and-Segmentation_v1.pdf
您可以将 Kafka 移动到兼容 pci 的子网,或者您需要对当前不兼容的子网进行一些更改。