局域网内的反向代理设备是否需要符合pci-dss

Question

我们创建了反向代理设备（网桥），用于将所有数据传入和传出网络。见下图。

|------------------------LAN----------------------------| 
User --- Access Point --- Switch ---- Proxy --- Gateway --- WAN 

假设付款是通过该LAN完成的，但HTTPS数据没有在代理中存储或处理。

反向代理（使用带有bridge-utils的Ubuntu 14.04）是否需要符合PCI-DSS？

Answer 1

范围是PCI-DSS的一个复杂部分。一般的规则是，如果一个设备可以连接到CDE，它就在范围之内。

解决这个问题的最简单方法是找出CDE的确切位置，然后用极其严格的防火墙隔离它。当您打开防火墙端口以允许服务（即 - 您的反向代理）连接到CDE时，请将这些服务添加到您的示波器。或者，你可以通过思考实验。如果一个高度恶意的演员控制了设备a，他/她是否可以将信用卡数据导向别的地方？