franciscovfonseca/PCI-DSS-Segmentation-Assurance

本项目评估网络隔离是否足够强大以缩小 PCI DSS 范围。涵盖持卡人数据流、互联系统、影响安全的服务、控制缺陷、证据要求以及补救优先级。 ## 执行摘要 初始范围界定将持卡人数据环境限制在三个支付子网内。本次审查通过网络路径、身份依赖关系、部署访问权限、日志流和备份管理来测试该设定的有效性。 评估发现了六个控制缺陷。四个共享服务实质性扩大了当前的评估边界：企业身份平台、共享的 CI/CD runner、中央日志平台和共享备份库。广泛的内部路由以及变更后缺失的隔离测试削弱了现有的边界。 在实施并独立测试高优先级行动之前，不支持拟议的范围缩减。这是一项范围界定和控制有效性评估，与选定的 PCI DSS v4.0.1 预期要求相对应，并非合规声明。 ## 项目背景 该环境使用托管在 AWS 上的支付服务，其身份验证、管理访问和操作服务在整个大型企业中共享。本次审查探讨了是否可以将三个支付子网视为独立的持卡人数据环境。 详细的架构、证据集和评估边界记录在[评估背景](docs/scenario-and-assumptions.md)中。 ## 评估决定 **当前决定：** 不要依赖隔离来缩小 PCI DSS 范围。 支付工作负载在子网层面进行了分离，但共享的控制面依赖关系和数据流破坏了安全边界。在实施隔离、收集证据并测试隔离有效性之前，组织应将识别出的互联系统和影响安全的系统视为在范围内的。 ``` flowchart LR Customer[Customer browser] --> Edge[Cloud edge and WAF] Edge --> Web[Commerce web tier] Web --> Pay[Payment API] Pay --> HSM[Key service] Pay --> Vault[Encrypted settlement vault] Pay --> Logs[Central logging] CICD[Shared CI/CD runner] --> Pay IAM[Corporate identity control plane] --> Admin[Payment admin role] Admin --> Pay Vault --> Backup[Shared backup account] ``` ## 交付成果 | 产出物 | 决策目的 | |---|---| | [评估背景](docs/scenario-and-assumptions.md) | 定义架构、证据集和评估假设 | | [架构与数据流](docs/architecture-and-data-flow.md) | 展示持卡人数据流向和跨边界依赖关系 | | [范围界定](docs/scope-determination.md) | 定义当前在范围内、互联和影响安全的系统 | | [隔离控制评估](docs/segmentation-control-assessment.md) | 测试声明的边界并记录六项发现 | | [证据与测试计划](docs/evidence-and-test-plan.md) | 定义支持每项控制结论所需的证据 | | [风险登记册与补救路线图](docs/risk-register-and-remediation.md) | 根据风险降低程度和依赖关系确定处理优先级 | | [审计师挑战包](docs/auditor-challenge-pack.md) | 预测问题并防止提供无根据的保证 | | [高管决策备忘录](docs/executive-decision-memo.md) | 将技术发现转化为负责任的业务决策 | | [来源登记册](docs/source-register.md) | 记录所使用的 PCI SSC 标准和指南 | ## 方法 1. 追踪账户数据的接收、处理、传输和存储位置。 2. 识别与 CDE 具有连接性的系统以及可能影响其安全的系统。 3. 根据路由、身份路径、部署路径和操作数据流测试每个声明的边界。 4. 区分现有证据与仍需的证据。 5. 记录发现、残余风险以及关于范围缩减是否合理的决定。 6. 定义重新评估前必须满足的条件。 ## 关键发现 | ID | 发现 | 评级 | 范围影响 | |---|---|---:|---| | SEG-01 | 共享的 CI/CD runner 可以部署到支付工作负载 | 严重 | 共享的 DevOps 账户会影响安全 | | SEG-02 | 企业身份管理员可以影响支付角色 | 高 | 身份控制面会影响安全 | | SEG-03 | 调试日志将完整的 PAN 发送到中央日志平台 | 高 | 日志平台存储账户数据 | | SEG-04 | 共享备份操作员可以还原支付快照 | 高 | 备份服务和特权操作员会影响安全 | | SEG-05 | 支付出口允许广泛的私有网络目标 | 中 | 互联系统群体不受限制 | | SEG-06 | 传输路由更改后未重新测试隔离 | 中 | 边界有效性未经验证 | ## 框架对应关系 | PCI DSS v4.0.1 领域 | 项目响应 | 证据 | |---|---|---| | 范围界定与确认 | 识别账户数据流、互联系统和影响安全的系统 | [范围界定](docs/scope-determination.md) | | 网络与数据流图 | 记录当前架构、信任路径和账户数据流向 | [架构与数据流](docs/architecture-and-data-flow.md) | | 网络访问限制 | 评估跨越声明边界的入站、出站和管理路径 | [隔离控制评估](docs/segmentation-control-assessment.md) | | 隔离有效性测试 | 定义年度、变更后和证据保留预期 | [证据与测试计划](docs/evidence-and-test-plan.md) | | 风险与治理问责 | 分配负责人、截止日期、接受条件和决策权 | [风险登记册](docs/risk-register-and-remediation.md) | ## 仓库结构 ``` . |-- README.md |-- LICENSE `-- docs/ |-- architecture-and-data-flow.md |-- auditor-challenge-pack.md |-- banner-prompt.md |-- banner.svg |-- evidence-and-test-plan.md |-- executive-decision-memo.md |-- risk-register-and-remediation.md |-- scenario-and-assumptions.md |-- scope-determination.md |-- segmentation-control-assessment.md `-- source-register.md ``` ## 导航指南 请从[范围界定](docs/scope-determination.md)和[控制评估](docs/segmentation-control-assessment.md)开始。[证据计划](docs/evidence-and-test-plan.md)、[补救路线图](docs/risk-register-and-remediation.md)和[审计师挑战包](docs/auditor-challenge-pack.md)提供了支持性细节。 ## 展示的技能 - PCI DSS 范围界定和网络隔离保障 - 持卡人数据流分析 - 互联系统和影响安全系统的识别 - 证据设计和控制有效性测试 - 风险评级、补救排序和残余风险沟通 - 高管报告和审计挑战准备 ## 范围说明 本项目提供了一套评估方法和文档集。它不确立 PCI DSS 合规性。得出合规结论需要对已实施的环境、当前证据和适用的评估程序进行验证。 ## 参考 主要和次要材料记录在[来源登记册](docs/source-register.md)中。PCI SSC 材料于 2026 年 6 月 14 日进行了核查。 ## 许可证 本项目基于 [MIT License](LICENSE) 发布。

标签：AWS, DPI, PCI DSS, 反取证, 安全评估, 漏洞利用检测, 网络安全, 网络隔离, 防御加固, 隐私保护