PCI合規性（如果是遠程）的Key Server安全要求是什麼？

Question

我目前正在研究PCI合規性的關鍵管理系統。

密鑰管理系統由應用程序託管。該應用程序託管在符合PCI的環境中。

如果託管密鑰服務器包含'主密鑰'遠程，它的環境也必須符合PCI？

我知道密鑰管理系統本身必須託管在符合PCI的環境中，但我找不到密鑰服務器的任何具體證據。

關於這個問題的任何燈光將不勝感激。我有幾乎所有的東西釘在這一點上，但想要一個肯定的答案是否密鑰服務器是否需要在硬件防火牆，vuln掃描等，等...

Answer 1

我的第一本能是'是' 。密鑰服務器是密鑰管理系統的一部分，因此應該位於PCI安全環境中。

我可以看到如何使用遠程密鑰服務器，但增加了複雜性。確保遠程位置通過pci認證可能很困難，當然如果它是第三方託管環境的一部分。然而，在另一方面，如果做得對（固體認證，安全套接字等），那麼遠程密鑰服務器可以說比本地密鑰服務器更安全。

真的，我認爲它值得與您的QSA討論。不幸的是，如果您的QSA不同意，這裏給出的任何建議都可能被取消。