Ho letto un'altra domanda che mi ha fatto pensare ...
Se crittografate i dati PCI (numeri di carte di credito, ecc.) utilizzando PGP o AES e li inviamo tramite un firewall, il firewall è di pertinenza?
In alternativa, che cosa succede se si utilizza un meccanismo di sicurezza data-in-motion come SSH o TLS, lo stesso firewall potrebbe essere dentro o fuori portata?
Forse posso aggiungere più contesto.
Certo, il nostro firewall "Area PCI" è nel campo di applicazione, ma cosa succede se un firewall separa due Intranet diverse e i dati PCI crittografati (utilizzando uno dei due metodi) lo attraversano per raggiungere un altro server. Ad esempio, passa attraverso il firewall "Area PCI" e il firewall "Intranet 2" per entrare in Intranet 2.
PCI afferma che tutto ciò che "memorizza, inoltra o elabora" i dati della carta di credito dovrebbe essere incluso. Il firewall Intranet 2 li fa? Instrada / inoltra definitivamente il flusso di dati, elabora i pacchetti e memorizza alcune informazioni nei suoi registri, ma non sono sicuro che qualcuno di questi sia effettivamente ambito PCI perché le informazioni sono crittografate. In realtà non gestisce alcun dato PCI crudo, ma gestisce le informazioni crittografate.
Si potrebbe argomentare che la crittografia è reversibile, e quindi potrebbe essere ancora PCI, ma non sono chiaro dove si collochi dal punto di vista di una QSA.
Sono propenso a considerare tutte le reti come PCI e a stratificare su meccanismi di sicurezza aggiuntivi come ritengo opportuno, tuttavia sto cercando di capire le priorità che dovrebbero essere le aziende che devono essere conformi PCI.