PCI-VT网络设置

Question

不确定这在信息安全、服务器故障或网络工程方面是否最好。

我们有一家使用虚拟终端通过电话接收电话订单的公司。PCI-DSS 3.2说，要允许这样做：

商家通过孤立在单个位置且不连接到商家环境中的其他位置或系统的计算机访问符合PCI DSS的虚拟终端解决方案；

然后在问卷中：

1.2。防火墙和路由器配置限制不可信网络与持卡人数据环境中的任何系统之间的连接，如下所示：“不可信网络”是指属于受检查实体的网络之外的任何网络，以及/或超出实体控制或管理能力的网络。(a)入站和出站流量是否仅限于持卡人数据环境所必需的流量？审查防火墙和路由器配置标准检查防火墙和路由器配置(b)是否所有其他入站和出站流量都被具体拒绝(例如，使用显式“拒绝全部”或在允许语句后使用隐式拒绝)？

这是否意味着我们获取信用卡信息的机器需要使用防火墙或vlan完全与网络上的其他所有东西完全隔离？这将导致一个真正的问题，因为他们还需要为其他客户服务工作以及内部SQL服务器访问共享文件的中央机器。

我是否读得太多了，而且访问中央资源实际上是可以的--但其他非客户服务机器将不得不被阻止？提前感谢

Answer 1

计算机需要使用基于主机的防火墙或具有需求1中所概述的定义规则的网络防火墙与环境的其他部分分离。

• 出站规则:通常，工作站可以启动到文件共享或Server的出站连接。
• 入站规则:这是从非CDE系统分割工作站的位置，这是您的持卡人数据环境。您需要非常严格的入站规则和最终拒绝所有规则。
• 连接系统:任何连接到工作站的机器或设备都将被视为连接的系统。向工作站提供服务的系统(如域控制器、修补服务器、防病毒服务器等)通常被认为是连接的系统。连接的系统必须符合PCI标准，因为它们可以提供进入CDE的路径。应在评估范围内考虑连接的系统。有关连接系统的详细信息，请参阅PCI作用域工具。

有关工作站作为CDE的更多信息，请参见如何应用于个人电脑或工作站？和什么是。正如“什么是SAQ”FAQ所指出的，“使用虚拟终端解决方案的商家应该咨询他们的收购者(商业银行)。”