Sono abbastanza nuovo per PCI DSS e sono confuso rispetto al requisito di eseguire test della penna come da 11.3.4. come afferma: -
Are penetration-testing procedures defined to test all segmentation methods, to confirm they are operational and effective, and isolate all out-of-scope systems from systems in the CDE?
Siamo una piccola azienda con una macchina singola che accetta il pagamento per telefono.
Quindi il CDE è essenzialmente l'intera azienda in quanto la macchina per schede si connette a Internet attraverso il router a banda larga. Abbiamo una DMZ con una singola macchina in esecuzione su di essa per l'accesso alla posta elettronica, ma non ha porte aperte tra la DMZ e la rete interna. Inoltre, quando eseguiamo una scansione di rete, includo gli IP esterni della macchina nella DMZ oltre agli IP della LAN.
Ho ancora bisogno di testare la nostra LAN dalla DMZ come mi sembra, è già tutto in ambito PCI DSS?