LAN中的反向代理设备是否需要符合pci-dss

Question

我们创建了一个反向代理设备(网桥)，用于传输进出网络的所有数据。请参见下图。

|------------------------LAN----------------------------|
 User --- Access Point --- Switch ---- Proxy --- Gateway --- WAN

假设支付是通过该LAN完成的，但没有HTTPS数据存储或处理在代理中。

反向代理(使用带有bridge-utils的Ubuntu 14.04 )需要符合PCI-DSS吗？

Answer 1

作用域是PCI-DSS中比较复杂的部分。一般规则是，如果设备可以连接到CDE，则它在作用域内。

弄清楚这一点的最简单方法是找出CDE所在的确切位置，然后使用严格限制的防火墙将其隔离。当您打开防火墙端口以允许服务(即反向代理)连接到CDE时，请将这些服务添加到您的作用域中。或者，你可以做一个思维实验。如果一个高度恶意的行为者控制了设备a，他/她是否可以将信用卡数据转移到其他地方？