Categorizzazione dei server di backup nel Toolkit di Scoping PCI aperto

Naviga le tue risposte
3

In che modo i server di backup che ospitano una copia dei dati dei titolari di carta dovrebbero essere classificati in base al Open PCI Scoping Toolkit , dato che le linee guida per il backup e lo storage degli standard PCI sono già state rispettate?

Se prendo le categorie elencate al valore nominale, i server di backup devono essere trattati come categoria 1a. La ripercussione sarebbe che non potevo fare il backup dei miei server isolati di classe 3 da questo server di backup. Se questi file possono essere trattati solo come file e non come dati del titolare della carta, il diagramma di flusso ha più senso. I server di backup potrebbero essere trattati come dispositivi 2b e in grado di eseguire il backup di caselle di categoria 1 e 3.

La seconda opzione sembra più di ciò che è previsto nelle richieste stesse poiché non vi è alcun riferimento alla segregazione nel documento dei requisiti primari, solo che i backup sono protetti crittografati, ecc. Sembra controintuitivo che avremmo bisogno di un sistema di backup indipendente e libreria di nastri solo per questo motivo, quindi mi piacerebbe conoscere qualcuno che ha lavorato più a lungo di me.

    
posta Tim Brigham 31.12.2012 - 20:49
fonte

2 risposte

0

Ho fatto una grande quantità di ricerche su questo argomento. È apparentemente possibile trattare i dati crittografati come fuori ambito se e solo se è stato convalidato che l'entità che possiede dati di titolari di carta crittografati non ha i mezzi per decrittografarlo. 3.2, pagina 8.

Purtroppo nel mio caso non c'è un modo per garantire prontamente che qualcuno con accesso al server di backup non possa prendere un backup di unità che contengono le chiavi di crittografia.

    
risposta data 25.06.2013 - 23:10
fonte
1

Non posso commentare, ma puoi approfondire le categorizzazioni? Non desidero iscrivermi al toolkit collegato. Se si soddisfano le linee guida di backup e archiviazione, è necessario considerare i dati di backup nello stesso contesto dei dati originali. Chi può accedervi dal server di backup e dall'archiviazione. Il backup è crittografato? Gli ACL sono mantenuti? Esiste un ampio pool di amministratori di backup che possono accedere ai dati di backup che non erano al corrente degli stessi dati nella posizione originale? Sembra che la tua domanda si riferisca ai target di backup. Se si esegue il backup di dati PCI e non PCI su un obiettivo comune, tale destinazione deve soddisfare tutti i requisiti PCI. Dovresti essere in grado di utilizzare la stessa infrastruttura di backup, ma dividere i tuoi pool o destinazioni media. Potrebbe essere necessario impostare politiche diverse con insiemi e incarichi diversi. Potresti quindi condividere la tua infrastruttura.

    
risposta data 29.01.2013 - 09:07
fonte

Leggi altre domande sui tag

Uno schema One Time Password basato su Diceware è valido e sicuro? OAuth 2.0 fornisce un modo per rigenerare in modo affidabile una chiave solo quando una sessione è attiva?