PCI DSS-サーバーごとに1つの主要機能のみ

はい、それらは別個のサーバーでなければなりません。

ただし、個別の物理サーバーである必要はありません。 1つの物理サーバー上の3つの仮想サーバーにすることができます。

標準には議論の余地があります。 Webとデータベースを分離することは、ほとんど交渉不可能です。しかし、電子メールがマイナーな機能である場合（たとえば、Webサーバーがそれを使用して奇妙な電子メール通知を送信するだけ）、それをWebサーバーと組み合わせると正当化できる場合があります。あなたが大きければQSAがこれをガイドしますが、あなたのサイズを考えると、あなたは自己評価をしていると思います。

はい、これは悪いです。

サーバーごとに1つのプライマリアプリケーションとは、リストした機能を前提として、3つのサーバーがあることを意味します。 1つのWebサーバー、1つのメールサーバー、1つのデータベースサーバー。実際、PCI環境にあり、PCIデータをデータベースに格納していると仮定すると、データベースは、インターネットと直接通信できるシステム上には存在できません。明らかに、単一の機能要件は別として、これはデータベースをWebサーバーまたはメールサーバーに置くことを防ぎます。

Webサーバーでは、syslog、ssh、その他のサービスを実行できます。これらのサービスが存在するのは、組織のロギングおよび管理要件に加えて、プライマリサービスであるWebサービスがそれらを必要とするためです。

この要件を満たしているかどうかを判断する優れた方法は、「このサービスをここから削除して、環境内の別のシステムにインストールした場合でも、このシステムで目標を達成できるか」という質問を自問することです。答えが「はい」の場合、そのサービスをサーバーから移動する必要があります。

お役に立てれば！

質問とコメントで説明したシナリオについては、PCI-DSS v3自己評価SAQ A-EPを完了することになります。あなたの場合のようにカード会員データ環境全体がアウトソーシングされていて、あなたが行うのは顧客を決済会社のウェブサイトにリダイレクトして支払いを行い、一部を受け取るだけである場合でも、46ページのフォームが必要であることを十分に考えていないとしても多少不公平に思えますある種の確認またはエラーメッセージがAPIを介してWebサイトからあなたに返されます。しかしそれはそれが何であるかです。

QSAで確認しないと、それが許容できるかどうかを確認できませんでしたが、カード所有者のデータ環境を参照し、カード所有者のデータを保護するため、SAQのセクション全体に回答できるため、質問の大部分は範囲外になりますなし。

要件2の場合（システムパスワードおよびその他のセキュリティパラメーターにベンダー提供のデフォルトを使用しないでください）：これにはホスティング環境が含まれるため、このセクションを完了するにはホスティングプロバイダーに支援を依頼する、ただし、PrestaShop、Magentoなどのeコマースソフトウェアや、WordPressなどのインストールされている他のアプリケーションなど、指定したディスク領域にインストールしたアプリケーションソフトウェアも含まれます。

個人的に私はおそらく選択します2.2.1の場合は該当なしホスティング環境がカード会員データ環境の範囲外にあり、外部委託された支払いから完全に分離しているため、サーバーごとに1つの主要機能について尋ねます受け入れプロバイダーのシステム。これは論争のポイントかもしれません、そしてあなたはこの点についてQSAに相談する必要があるかもしれません。

質問後にここに投稿する場合は、QSAからのフィードバックに興味があります。

2015年2月1日に編集：

さらに明確にするために、PCI-DSS SSCで確認した結果、あなたのWebサイトが支払いページをホストしているかどうかにかかっています。あなたのウェブサイトに文字通りカートシステムとチェックアウトボタンがあり、ユーザーがサードパーティの支払い受け入れプロバイダーにリダイレクトされ、そこでカードの詳細などを入力する場合、またはこれを<iframe>に埋め込むことによって同じことが実現される場合SAQ Aを使用できます。 <div>に埋め込むか、HTMLフォーム要素を使用してWebサイトでカード会員データを直接キャプチャするか、ルックアンドフィールを改善するためのテンプレート要素がWebサイトでホストされている場合、セキュリティリスクが高まるため、SAQ A-EPが必要になります。 PCI Security Standards FAQ に、この理由についてより深く掘り下げた役立つ記事もあります。