Sto cercando di capire meglio la portata del mio ambiente.
Ho un gruppo di dispositivi di categoria 2x che vengono utilizzati per gestire un dispositivo di categoria 1b attraverso un dispositivo di categoria 2a.
Capisco che il mio gruppo di dispositivi 2x è tenuto a rispettare i controlli 1.4, 2, 5 e 6.1
Questo gruppo richiede la stessa sicurezza fisica (telecamere, sistemi di accesso cardati, ecc.)?
Dichiarazione di non responsabilità: IANAQSA
Domanda: I dispositivi di gruppo 2x devono essere conformi a tutti i controlli PCI nell'ambito?
Versione breve: non necessariamente, ma potrebbero essere ... è davvero compito del valutatore. L'uso di categorie è un modo per rendere più persuasivi gli argomenti al valutatore quando si desidera determinare se un dispositivo deve soddisfare o meno determinati controlli.
Versione lunga:
Il sistema di classificazione delle categorie che stai usando - il Open PCI DSS Scoping Toolkit - indica chiaramente:
We believe the Toolkit to be consistent with the spirit and intent of the PCI DSS.
However, the Toolkit is not endorsed by the PCI Security Standards Council in any way,
nor is it the product of an official Special Interest Group.
Lo stesso PCI DSS non ha alcun concetto di categorie 1-3 o "infezione" *. Questo paradigma è stato buttato là fuori da persone che erano stufe di occuparsi della definizione "connessa" incredibilmente ambigua di ambito che il DSS effettivamente utilizza. Per quanto riguarda il DSS, tutto è dentro o fuori portata. E se è in ambito, "... i requisiti di sicurezza PCI DSS si applicano ..."
Quindi, in termini puramente PCI DSS, se è in ambito, si applicano tutti i requisiti.
E se si guarda la tabella nella sezione 6.4 del Open PCI DSS Scoping Toolkit , vedrai che da 1a a 2x sono tutti "nell'ambito":
Maaspettate!Secontinuatealeggerele"Domande frequenti" nell'Appendice B del Toolkit, rispondono direttamente alla vostra domanda (ma potrebbero non rispondere):
La risposta: se si guarda all'accesso di un dispositivo 2x, alle sue limitazioni e ai suoi controlli di compensazione, è possibile formulare argomenti ragionevoli che non è necessario applicare determinati requisiti DSS. E se riesci a convincere il tuo assessore che hai una buona causa, allora sei pronto. (Questo è vero per qualsiasi dispositivo di categoria, comunque, ma mai convincerà il tuo valutatore che un dispositivo 1a dovrebbe essere esentato da DSS 3.4)
Vi incoraggio a leggere attraverso Open PCI DSS Scoping Toolkit , in particolare 5,5, 5,7, 6 e 10 ("Appendice B"). Lo stesso messaggio è ripetuto in tutto:
Ad esempio:
10.3 Perché il Toolkit non specifica quali requisiti di controllo PCI DSS si applicano a ciascuna sottocategoria?
Il Toolkit afferma che tutti i controlli PCI DSS applicabili sono richiesti per la Categoria 1 e 2a componenti di sistema e nessun controllo PCI DSS necessario per la Categoria 3 componenti del sistema.
Tuttavia, poiché ogni organizzazione e CDE è unica, sarebbe impossibile fornire indicazioni più specifiche su quali controlli PCI DSS sono richiesti per ogni tipo di Componente di sistema Categoria 2b, 2c e 2x. Il Toolkit fornisce le basi per un organizzazione e il suo valutatore per discutere quali sono i rischi rilevanti e i controlli necessario per mitigarli.
* Personalmente, credo che la scelta della parola "infezione" per descrivere la transizione di ambito tra sistemi connessi sia stata un errore; Non conosco tutte le implicazioni politiche, ma sono ragionevolmente sicuro che il PCI Security Standards Council non apporterà mai il proprio marchio di approvazione su un documento che fa sembrare il PCI un virus.