Соответствие PCI хостинга Firebase

Мы построили платформу веб-приложений, рассматривая Firebase как центр технологии, и на данный момент, когда нам нужно отправить PCI DSS, наша система не проходит тест, потому что она вся построена на Firebase. Пожалуйста, скажите мне, что хостинг firebase соответствует стандарту PCI. Мой отчет проходит все тесты, кроме обратного прокси-теста. Можно ли это решить или нужно тратить время и деньги на перестройку/перенос всей инфраструктуры куда-то еще. Ниже приведена проблема, о которой сообщает ASV.

поэтому, в основном, для совместимости с PCI у нас должен быть обратный прокси-сервер, совместимый с PCI, и если Google докажет, что обратный прокси-сервер (varnish), они могут настроить его для отчета о совместимом.

может ли кто-нибудь помочь нам?

введите здесь описание изображения


firebase google-cloud-functions firebase-hosting pci-compliance pci-dss
person Anant Anand Gupta    schedule 25.04.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Как насчет того, чтобы просто уничтожить заголовки x-varnish, via и server, чтобы лак нельзя было обнаружить тривиально?

в вашем /etc/varnish/default.vcl:

sub vcl_deliver {
  unset resp.http.via;
  unset resp.http.server;
  unset resp.http.x-varnish;
}
person Guillaume Quintard    schedule 01.05.2019
comment
я уверен, что команда firebase может это сделать ... как потребитель хостинга firebase, у меня нет доступа к такой модификации. - person Anant Anand Gupta; 03.05.2019