Sto utilizzando il modello di segmentazione di rete 3/2/1 dal open pci dss scope toolkit e io sto incontrando un po 'di blocco mentale. Ho un sistema telefonico (serie Mitel 5000, se è importante) che si trova sulla mia rete interna segmentata.
Il sistema telefonico sembra essere protetto da firewall. nmap mostra solo porte standard di gestione web e SSH. Tuttavia, questo sistema è tecnicamente di livello 1, in quanto prendiamo un gran numero di chiamate che contengono informazioni sui titolari di carta.
Sulla base del toolkit questo è tecnicamente una violazione poiché i sistemi L3 possono potenzialmente accedere a L1. Allo stesso tempo, l'unico accesso attraverso la rete è il traffico di gestione crittografato. Che soddisfi le specifiche PCI-DSS per qualsiasi rete disponibile pubblicamente.
Come considero questa situazione? Perché?
Nota - Sono consapevole che il QSA è la risposta finale su questo come qualsiasi domanda relativa al PCI. Cerco di più per le migliori pratiche e la logica dietro a questo tipo di casi.