Perché il requisito DSS PCI 4.1 non corrisponde al SAQ?

6

nello standard PCI DSS (v3.1) , 4.1 (i) legge:

For all other environments using SSL and/or early TLS: Review the documented Risk Mitigation and Migration Plan to verify it includes:

  • Description of usage, including what data is being transmitted, types and number of systems that use and/or support SSL/early TLS, type of environment;
  • Risk-assessment results and risk-reduction controls in place;
  • Description of processes to monitor for new vulnerabilities associated with SSL/early TLS;

  • Description of change control processes that are implemented to ensure SSL/early TLS is not implemented into new environments;

  • Overview of migration project plan including target migration completion date no later than June 30, 2016.

Tuttavia, in SAQ D questo testo è in 4.1 (g) e non c'è (i).

Perché c'è una differenza?

Ho controllato e questo sembra essere lo stesso anche nella v3.2 (e anche per il commerciante SAQ-D).

    
posta SilverlightFox 05.09.2016 - 12:46
fonte

1 risposta

1

Distillazione dai commenti:

Il documento degli standard PCI DSS contiene il linguaggio dei requisiti e contiene anche le procedure di test (colonna 2) e guida (colonna 3) per i QSA e per coloro che si preparano per una visita da un QSA. I requisiti sono numerati nel formato MAJOR.MINOR e le procedure di test appropriate per un requisito utilizzano lettere. Le procedure di test non sono di per sé requisiti.

Il questionario SAQ è un questionario per gli autovalutatori. Le domande appropriate per un particolare requisito PCI DSS utilizzano anche lettere con il formato del requisito MAJOR.MINOR.

Le lettere in questi due documenti non sono intese per allineare. Le procedure di test e le linee guida per i QSA sono diverse dalle domande destinate all'autovalutazione.

Se uno si qualifica per l'auto-valutazione, allora è possibile utilizzare le procedure di test e le linee guida nel documento dei requisiti per approfondire la comprensione delle aspettative di conformità, ma si è solo responsabili di rispondere alle domande nel questionario SAQ.

Se uno non si qualifica per auto-valutarli, allora il SAQ dovrebbe essere ignorato.

    
risposta data 07.09.2016 - 13:45
fonte

Leggi altre domande sui tag