Pagina 10 del PCI DSS v3.1 afferma:
"The PCI DSS security requirements apply to all system components included in or connected to the cardholder data environment. The cardholder data environment (CDE) is comprised of people, processes and technologies that store, process, or transmit cardholder data or sensitive authentication data."
Quindi i tuoi sistemi sono effettivamente in ambito PCI perché trasmettono i dati dei titolari di carta.
Poiché tutti i dati dei titolari di carta vengono memorizzati dal provider cloud, non devi preoccuparti di alcun requisito di archiviazione per i dati del titolare della carta (crittografia e gestione delle chiavi).
DOVETE comunque preoccuparvi della vostra registrazione. Dal momento che le tue macchine sono utilizzate per connettersi al CDE, vengono portate in ambito. I registri di tutti i sistemi di ambito potrebbero essere memorizzati localmente su ciascun endpoint, ma applicare il resto dei requisiti per i registri diventa molto difficile se non sono gestiti centralmente.
Requisito 10.5:
Secure audit trails so they cannot be altered.
Requisito 10.7:
Retain audit trail history for at least one year, with a minimum of three months immediately available for analysis (for example, online, archived, or restorable from backup).
Non è necessario archiviare i backup dei registri dal sito e, a seconda della valutazione del rischio delle aziende, potrebbe non essere conveniente farlo, ma consiglio vivamente di archiviarli su un sistema gestito centralmente controllato da accesso.
Modifica: aggiunta di chiarimenti sulla 9.5.1 in modo che le persone non debbano setacciare i commenti (Grazie a @SilverlightFox)
L'intestazione per gli stati del requisito 9
“Media” refers to all paper and electronic media containing cardholder data.
Poiché non vi è alcun backup o archiviazione di dati di titolari di carte di credito in primo luogo, il requisito 9.5.1 sarebbe N / D perché il "media" non contiene dati di titolari di carta.