PCI DSS richiede un SAQ per ciascun sito?

Naviga le tue risposte
1

Sono con un'organizzazione che sta appena iniziando a lavorare su PCI. Abbiamo 3 siti collegati tramite connessioni point to point. Solo il sito principale memorizza i dati del titolare della carta. Gli altri due siti dispongono di workstation che si connettono all'ambiente dei dati del titolare della carta tramite connessione crittografata. Abbiamo bisogno che tutti e 3 i siti siano conformi PCI.

Sulla base delle informazioni di cui sopra, ho alcune domande ...

  1. Abbiamo bisogno di un SAQ separato per ogni sito? O solo per il sito principale?

  2. Sappiamo che i 2 siti che non archiviano i dati dei titolari di carte sono nel campo di applicazione, tuttavia, abbiamo solo bisogno di indurire quegli ambienti o dobbiamo passare attraverso ogni requisito PCI e garantire che sia soddisfatto? Comprendiamo che dobbiamo farlo per il sito principale.

  3. Comprendiamo che la valutazione del rischio è un requisito per il PCI. Dal momento che la stiamo solo implementando, quando dovremmo condurre una valutazione del rischio? All'inizio quando definiamo l'ambito o in un secondo momento?

  4. Dovremmo passare attraverso il questionario SAQ per vedere dove siamo (analisi del gap) prima o dopo la valutazione del rischio?

Grazie mille per il tuo aiuto !!!

    
posta ITsoccer 23.09.2016 - 23:43
fonte

1 risposta

2

Risposte rapide da un dispositivo mobile:

  1. PCI è un impegno a livello di organizzazione, quindi è uno per persona giuridica che ha un CDE o un accordo di elaborazione o di vendita o altro impegno con le carte.

  2. Non proprio nessuno dei due, ma quest'ultimo è più vicino. Ogni requisito deve essere soddisfatto attraverso l'intero ambito. Quello ordinariamente pianificato IT per sito è irrilevante.

    Sembra che ciò che sarà necessario sia un po 'di partizionamento e segregazione nei siti in modo che un ambito possa essere ragionevolmente definito.

  3. L'ambito deve venire prima, quindi i rischi possono essere valutati per un dato ambito. Detto questo, definire la portata è complesso e comprendere i rischi può aiutare enormemente a incentivare tutte le parti a ridurre e far rispettare il più piccolo possibile.

  4. È possibile utilizzare il SAQ per un'analisi del gap non appena si dispone di un ambito.

risposta data 24.09.2016 - 00:36
fonte

Leggi altre domande sui tag

Quale scopo viene offerto da reimpostazioni di connessioni ripetute? Qual è la differenza tra DRM e CAS?