La nostra azienda non memorizza i dettagli della carta di credito, ma li trasmette. Lo stiamo archiviando in una piattaforma cloud che è già conforme PCI.
Abbiamo solo bisogno di accedere al portale Cloud dalla nostra azienda. Capisco che dobbiamo anche essere conformi allo standard PCI.
Ma per quanto riguarda il backup, abbiamo bisogno di fare il backup della gestione dei log. La mia domanda è, abbiamo ancora bisogno di archiviare il backup fuori sede? O è ok se lo immagazziniamo localmente?
Pagina 10 del PCI DSS v3.1 afferma:
"The PCI DSS security requirements apply to all system components included in or connected to the cardholder data environment. The cardholder data environment (CDE) is comprised of people, processes and technologies that store, process, or transmit cardholder data or sensitive authentication data."
Quindi i tuoi sistemi sono effettivamente in ambito PCI perché trasmettono i dati dei titolari di carta.
Poiché tutti i dati dei titolari di carta vengono memorizzati dal provider cloud, non devi preoccuparti di alcun requisito di archiviazione per i dati del titolare della carta (crittografia e gestione delle chiavi).
DOVETE comunque preoccuparvi della vostra registrazione. Dal momento che le tue macchine sono utilizzate per connettersi al CDE, vengono portate in ambito. I registri di tutti i sistemi di ambito potrebbero essere memorizzati localmente su ciascun endpoint, ma applicare il resto dei requisiti per i registri diventa molto difficile se non sono gestiti centralmente.
Requisito 10.5:
Secure audit trails so they cannot be altered.
Requisito 10.7:
Retain audit trail history for at least one year, with a minimum of three months immediately available for analysis (for example, online, archived, or restorable from backup).
Non è necessario archiviare i backup dei registri dal sito e, a seconda della valutazione del rischio delle aziende, potrebbe non essere conveniente farlo, ma consiglio vivamente di archiviarli su un sistema gestito centralmente controllato da accesso.
Modifica: aggiunta di chiarimenti sulla 9.5.1 in modo che le persone non debbano setacciare i commenti (Grazie a @SilverlightFox)
L'intestazione per gli stati del requisito 9
“Media” refers to all paper and electronic media containing cardholder data.
Poiché non vi è alcun backup o archiviazione di dati di titolari di carte di credito in primo luogo, il requisito 9.5.1 sarebbe N / D perché il "media" non contiene dati di titolari di carta.
Quello che capisco dalla tua domanda è che stai parlando del backup dei log. PCI richiede che tutti i registri vengano archiviati nel server di registro centrale (fare riferimento al Requisito 10). Non è indicato dove i registri devono essere salvati in altri media e conservarli fuori sede. Poiché non stai memorizzando localmente alcun dato della carta, l'altra archiviazione dei dati della carta sul supporto non è applicabile per te.