PCI DSS PenetrationTesting Requisito 11.3.4

1

Sono abbastanza nuovo per PCI DSS e sono confuso rispetto al requisito di eseguire test della penna come da 11.3.4. come afferma: -

Are penetration-testing procedures defined to test all segmentation methods, to confirm they are operational and effective, and isolate all out-of-scope systems from systems in the CDE?

Siamo una piccola azienda con una macchina singola che accetta il pagamento per telefono.

Quindi il CDE è essenzialmente l'intera azienda in quanto la macchina per schede si connette a Internet attraverso il router a banda larga. Abbiamo una DMZ con una singola macchina in esecuzione su di essa per l'accesso alla posta elettronica, ma non ha porte aperte tra la DMZ e la rete interna. Inoltre, quando eseguiamo una scansione di rete, includo gli IP esterni della macchina nella DMZ oltre agli IP della LAN.

Ho ancora bisogno di testare la nostra LAN dalla DMZ come mi sembra, è già tutto in ambito PCI DSS?

    
posta li_greeny 06.03.2018 - 10:43
fonte

1 risposta

1

§11.3.4 è specificamente rivolto alle organizzazioni che utilizzano la segmentazione per limitare il loro ambito PCI. Quando dici:

So the CDE is essentially the entire company as the card machine connects to the internet through the broadband router.

Sembra che tu non sia in questa categoria. Se la macchina card è sulla stessa rete piatta di tutte le altre macchine aziendali interne, allora sì, sono tutte in ambito. Se questo è il caso, allora il §11.3.4 non si applica a te - ecco il testo completo con enfasi sulle parti che distinguono da ciò che stai facendo:

11.3.4 If segmentation is used to isolate the CDE from other networks, perform penetration tests at least annually and after any changes to segmentation controls/methods to verify that the segmentation methods are operational and effective, and isolate all out-of-scope systems from systems in the CDE.

Non stai utilizzando la segmentazione per isolare, quindi non devi verificare che lo stai facendo in modo efficace. Non hai sistemi fuori portata isolati dal CDE.

Quindi è ancora necessario avere un pen-test di tutto secondo §11.3.2 - semplicemente non ha bisogno di verificare la tua (inesistente) segmentazione.

    
risposta data 20.07.2018 - 15:42
fonte

Leggi altre domande sui tag