Разделение защищенной сети и DMZ (небезопасное) в инфраструктуре, совместимой с PCI

Мы создаем инфраструктуру PCI Compliant, в которой большинство наших приложений работают в DMZ (демилитаризованная зона), которые не содержат конфиденциальной информации. Часть, содержащая конфиденциальную информацию, защищена в частной подсети.

У нас есть два вопроса.

Во-первых, некоторые inputящие requestы будут содержать конфиденциальную информацию. Нашим решением является создание обратного proxy-serverа в защищенной сети (не в DMZ – следовательно, proxy-server будет подвергаться аудиту), который направит request либо в DMZ, либо в защищенную приватную подnetworking.

Если request отправляется в защищенную networking, защищенная networking будет хранить конфиденциальную информацию, а затем направлять request в DMZ без этой информации для продолжения обработки. Должны ли мы это сделать, сможет ли DMZ вернуть ответ пользователю через proxy?

Проблема заkeyается в том, что proxy-server будет публичным. Он не будет хранить конфиденциальную информацию, но они пройдут через нее, следовательно, она будет подвергаться аудиту и безопасности.

Вторая проблема заkeyается в том, что у нас есть определенный file, который должен обслуживаться с PCI-совместимого serverа. Так как наши совместимые serverы находятся в частной сети, как мы можем это сделать? Должен ли мы создать один открытый server с открытым доступом для обслуживания этого fileа? Каковы другие решения этой проблемы?

Спасибо,

Давайте будем гением компьютера.