Ez a részletes útmutató bemutatja, hogyan valósítható meg a hálózati szegmentáció PCI DSS-kompatibilis módon: a CDE-térképezéstől a tűzfalkonfiguráción át a QSA-auditot megelőző dokumentációig.
1. lépés: CDE-határok meghatározása
A szegmentáció tervezése a CDE-határok pontos meghatározásával kezdődik: hálózati diagram elkészítése az összes rendszerrel; a kártyaadatokat tároló, feldolgozó vagy továbbító rendszerek azonosítása (ezek a CDE magja); a CDE-t kiszolgáló vagy arra hatással lévő rendszerek azonosítása (tűzfalak, hitelesítési szerverek, naplózó rendszerek – ezek is a CDE-be kerülnek); minden más rendszer kategorizálása "nem a CDE-ben" (irodai gépek, marketing-szoftverek stb.).
2. lépés: szegmentációs architektúra tervezése
A szegmentációs architektúra elemei: külső DMZ – internetre nyíló szerverek (webszerver, API-gateway); belső hálózat – általános irodai rendszerek; CDE zóna – kizárólag kártyaadat-kezelő rendszerek; menedzsment zóna – infrastrukturális menedzsment (szeparáltan a CDE-től is). A zónák közötti forgalmat tűzfalak vagy hálózati hozzáférési kontrollok szűrik.
3. lépés: tűzfalszabályok konfigurálása
A tűzfalszabályok elvei PCI DSS v4.0-ban: alapértelmezetten minden forgalom tiltott (deny-all, allow-by-exception); minden szabálynak üzleti indoklással kell rendelkeznie; a szabályokat legalább félévente felül kell vizsgálni; a szabályok dokumentáltak és verziókezeltek; minden bejövő/kimenő forgalom az internettől a CDE-be tilos, kivéve explicit engedélyezett protokollok és IP-tartományok.
4. lépés: szegmentáció tesztelése és dokumentálása
A szegmentáció érvényesítése: penetrációteszt szegmentáció-ellenőrzéssel (a tesztelő megpróbál a CDE-n kívülről a CDE-be jutni); tűzfalszabályok automatizált ellenőrzése; hálózati diagramok naprakészen tartása (minden módosítással frissíteni kell). Dokumentáció QSA-audit számára: tűzfalszabályok listája üzleti indoklással; hálózati diagram a CDE határaival; szegmentáció-teszt eredmények; adatfolyam-diagram (data flow diagram) a kártyaadatokhoz.
PCI DSS-kompatibilis szegmentáció tervezése
Szakértőink segítenek a hálózati szegmentáció tervezésében és a tokenizációval kombinált CDE-minimalizálásban, hogy a QSA-audit minél kisebb hatókörben zajlhasson.
Konzultáljon szakértőnkkel