如何隔离PCI合规性

我们目前正在处理但不存储信用卡数据。我们通过使用authorize.net API自行开发的应用程序对卡进行授权。

如果可能，我们希望将影响服务器的所有PCI要求（例如安装Anti-Virus）限制在一个隔离的单独环境中。在保持合规性的同时还能做到吗？

如果是这样，那么将构成充分的隔离？如果不是，是否有明确定义该范围的地方？

我上次阅读PCI标准时，它们对隔离性的要求非常明确（PCI语言中的技术术语是缩小PCI兼容环境的范围）。只要那些非常不合规的服务器对合规区域的访问权限为零，它就应该飞行。那将是一个完全从常规网络进行防火墙保护的网段，并且该防火墙上的规则本身就是PCI兼容的。

在过去的工作中，我们自己做了很多事情。

要牢记的关键是，从PCI兼容区域的角度来看，该区域中未包含的所有内容都将被视为公用Internet，无论它是否也是用于存储公司IP的同一网络。只要你那样做，你就应该很好。

这实际上很常见。我们通常将计算机称为/指定为“ PCI范围内”。

另外，“显然”有时不是PCI词典的一部分。语言可能含糊不清。我们发现，有时最简单的方法可以是询问审核员提议的解决方案是否可行。请考虑以下PCI-DSS V2：

“没有适当的网络分段（有时称为“扁平网络”），整个网络将在PCI DSS评估范围内。网络分段可以通过多种物理或逻辑手段来实现，例如正确配置的内部网络防火墙，具有以下功能的路由器：强大的访问控制列表或其他限制访问网络特定部分的技术。”

这是否意味着正常的网络交换机符合要求？他们这样说很容易，但是您就可以了。正是“其他技术限制了对网络特定部分的访问”。我最喜欢的另一个范围：

“ ...应用程序包括所有购买的和定制的应用程序，包括内部和外部（例如Internet）应用程序。”

我不确定广告部分，但我们所有的DC上确实都有HIDS和防病毒软件，因此我怀疑可能是。