Ist eine Reverse-Proxy-Appliance im LAN muss PCI-DSS-konform sein

Question

Wir haben eine Reverse-Proxy-Appliance (Bridge), die alle Daten in und aus dem Netzwerk übertragen. Siehe Diagramm unten.

|------------------------LAN----------------------------| 
User --- Access Point --- Switch ---- Proxy --- Gateway --- WAN 

wird angenommen, dass Zahlungen durch dieses LAN, aber keiner von einer HTTPS-Daten in dem Proxy getan wird, werden gespeichert oder verarbeitet werden.

Muss der Reverse Proxy (verwendet Ubuntu 14.04 mit Bridge-Utils) PCI-DSS-konform sein?

Answer 1

Scope ist ein komplizierter Teil von PCI-DSS. Wenn ein Gerät eine Verbindung mit dem CDE herstellen kann, liegt die allgemeine Regel darin.

Der einfachste Weg, um herauszufinden, ist genau herauszufinden, wo Ihr CDE liegt und isolieren Sie es dann mit einer extrem restriktiven Firewall. Wenn Sie Firewall-Ports öffnen, um Services (dh Ihren Reverse-Proxy) die Verbindung mit dem CDE zu ermöglichen, fügen Sie diese Dienste zu Ihrem Bereich hinzu. Alternativ könnten Sie ein Gedankenexperiment durchlaufen. Wenn ein sehr böswilliger Schauspieler die Kontrolle über das Gerät übernommen hat, könnte er dann irgendwo anders seine Kreditkartendaten angeben?