这与网络和系统配置的其他方面没有什么不同。PCI 主要关注职责分离，因此系统管理员既不是 dba，也不是开发人员，并且具有可审计性，以便记录和批准更改，并且实现与策略相匹配。因此站点可以运行内部 NTP 服务器。证明它们的使用有正式的政策，它们受到足够的监管以确保准确和可靠，对其配置的更改经过更改管理，并且不能使 PCI 空间中的主机不使用经批准的内部资源.

如果您的内部 NTP 时间服务器使用 GPS 接收器，则来自 GPS 接收器的时间同步在技术上使用卫星作为外部时间源，即使您没有使用外部 NTP 服务器，这也将被视为有效的外部时间源。

Johna B 提到的所有内容也是正确的，但根据您所拥有的环境类型，还有其他方法可以创建补偿控件。

确保准确时间的一种补偿控制是让第二个系统（不由管理时间服务器的人管理）在不小于每 60 秒的随机时间段检查和记录来自不同内部时间服务器的时间确保时间服务器未被篡改，并在时钟发生变化或漂移时提醒工作人员。这将确保来自内部时间源之一的时间没有被篡改，并为您提供一些时钟审计跟踪。同样，记录对时间服务器的所有访问并确保它们得到适当保护，具有外部日志记录，并且所有其他标准 PCI 控制仍然需要在这些系统上到位。

PCI-DSS 3.2 10.4.1.a 确实指定时钟需要与国际原子时间同步。

与往常一样，PCI 不是法律，您的 QSA 对批准您的 ROC 拥有最终决定权。

更新：除了下面塞巴斯蒂安尼尔森的建议之外，还有许多其他计时解决方案，它们既可以同步到国际原子时，也可以在很长一段时间内保持 100% 内部时间，并提供非常准确的时间结果。像这样的供应商出售的许多解决方案可以以多种不同的方式使用：

http://www.microsemi.com/products/timing-synchronization-systems/time-frequency-references/high-reliability-ruggedized-oscillators/9960-hybrid-space-qualified-tcxo

您需要将时间服务器同步到外部源的原因就是可审计性。正如其他人在这里指出的那样，GPS 接收器是有效的外部源。事实上，使用 GPS 接收器或时间无线电源是在气隙场景中管理时间服务器的首选方式，因为这意味着没有敏感数据可以从气隙区域泄漏，也没有恶意数据可以泄漏到气隙区域。气隙区。

是的，恶意的对手可能能够通过发送虚假的 GPS 或无线电信号来修改气隙区域内的时间，但仅此而已。

它并不是说您需要让时间服务器连接从 PCI DSS 边界出来，它只是说您需要以某种方式保持时钟与世界时间同步。

你不能仅仅“运行你自己的、内部的、有气隙的时间服务器”而根本无法从外部接收任何东西的原因是因为想象发生了破坏。然后你与执法部门合作，黑客就被抓住了。想象一下，您的所有日志在内部完全同步，但您的内部时间服务器与外部时间相差 1 分钟。

而现在，犯罪分子有同伙，可以说，根据官方记录，黑客因涉嫌酒后驾驶而被警方拘留，但在违规发生的确切时间被发现是无辜的。

现在，你的证据基本上是无效的，因为它表明了一些不可能发生的事情。

这就是您需要将时间服务器同步到外部源的原因。使用哪个外部源并不重要，只要其“行业认可”，例如同步时间服务器的常用方法，从执法的角度来看是合理的。

如果您出于某种原因绝对必须使 PCI DSS 区域保持气隙，比如说在一个厚的保险库内，那么您无论如何都可以通过外部时间接收器（从 GPS 接收器或类似接收器接收信号）来提供时间服务，这将然后通过激光输出PPS（每秒脉冲），脉冲到保险库中的小窗口*，在保险库内，您有一个接收器，它将同步内部时间服务器。（因此，内部时间服务器只会在激光脉冲上前进，如果外部时间服务器偏离世界时间，它将通过发送更快或更慢的脉冲来纠正）

*此窗口还必须以不损害保险库安全性的方式制作。

请注意，如果您走这条路线，您还需要一种方法来初始同步内部时间服务器。

这与职责分离无关。仅当您处理的交易量如此之大时，才需要进行职责分离。

如果单人公司处理信用卡详细信息，将接受单人责任，但仅限于少量交易，腐败风险较低。

Trey Blalock 所说的关于让 2 个内部时间服务器相互记录，而不是由同一系统管理员管理的内容，不会被接受为补偿控制，因为您无法确保该时间与世界时间正确同步。是的，您可以手动从外部源同步它们，但这意味着同时时间服务器会偏离世界时间。

然而，一种补偿控制是使用 OCXO（烤箱补偿晶体振荡器），它在被带入 PCI DSS 区域之前曾经与外部时间同步。该 OCXO 也可以使用防篡改密封件进行密封。

但请注意，OCXO 也会随时间漂移，需要定期检查和重新同步。