In che modo i server di backup che ospitano una copia dei dati dei titolari di carta dovrebbero essere classificati in base al Open PCI Scoping Toolkit , dato che le linee guida per il backup e lo storage degli standard PCI sono già state rispettate?
Se prendo le categorie elencate al valore nominale, i server di backup devono essere trattati come categoria 1a. La ripercussione sarebbe che non potevo fare il backup dei miei server isolati di classe 3 da questo server di backup. Se questi file possono essere trattati solo come file e non come dati del titolare della carta, il diagramma di flusso ha più senso. I server di backup potrebbero essere trattati come dispositivi 2b e in grado di eseguire il backup di caselle di categoria 1 e 3.
La seconda opzione sembra più di ciò che è previsto nelle richieste stesse poiché non vi è alcun riferimento alla segregazione nel documento dei requisiti primari, solo che i backup sono protetti crittografati, ecc. Sembra controintuitivo che avremmo bisogno di un sistema di backup indipendente e libreria di nastri solo per questo motivo, quindi mi piacerebbe conoscere qualcuno che ha lavorato più a lungo di me.