PCI合规性（如果是远程）的Key Server安全要求是什么？

Question

我目前正在研究PCI合规性的关键管理系统。

密钥管理系统由应用程序托管。该应用程序托管在符合PCI的环境中。

如果托管密钥服务器包含'主密钥'远程，它的环境也必须符合PCI？

我知道密钥管理系统本身必须托管在符合PCI的环境中，但我找不到密钥服务器的任何具体证据。

关于这个问题的任何灯光将不胜感激。我有几乎所有的东西钉在这一点上，但想要一个肯定的答案是否密钥服务器是否需要在硬件防火墙，vuln扫描等，等...

Answer 1

我的第一本能是'是' 。密钥服务器是密钥管理系统的一部分，因此应该位于PCI安全环境中。

我可以看到如何使用远程密钥服务器，但增加了复杂性。确保远程位置通过pci认证可能很困难，当然如果它是第三方托管环境的一部分。然而，在另一方面，如果做得对（固体认证，安全套接字等），那么远程密钥服务器可以说比本地密钥服务器更安全。

真的，我认为它值得与您的QSA讨论。不幸的是，如果您的QSA不同意，这里给出的任何建议都可能被取消。