Nel seguente requisito PCI 2.0, non sono sicuro di come interpretare l'accesso del computer alle macchine interne (non accessibile da remoto):
Requirement 8: Assign a unique ID to each person with computer access
8.2 In addition to assigning a unique ID, employ at least one of the
following methods to authenticate all users:
- Something you know, such as a password or passphrase
- Something you have, such as a token device or smart card
- Something you are, such as a biometric
Nel nostro sistema disponiamo di una macchina gateway accessibile da remoto e autenticiamo gli utenti in base ai requisiti PCI-DSS.
Tuttavia, per varie attività, è necessario accedere a una o più macchine interne e, di solito, questo è completamente automatizzato (ad esempio, gli aggiornamenti di sistema). In genere ciò avviene tramite SSH - utilizzando accesso senza password .
La chiave privata risiede sul server gateway (crittografato o non crittografato).
La mia domanda è allora se questo è in violazione con il sub-requisito 8.2. L'utente è autenticato con la macchina gateway, ma il requisito si applica anche per l'accesso alle macchine interne?
Si noti che l'obiettivo generale del requisito 8 è quello di identificare in modo univoco l'accesso al computer e non di mettere "sicurezza oscura".