Il test WiFi richiesto da PCI si applica a tutte le strutture aziendali?

1

I requisiti PCI-DSS definiscono l'ambito in termini di CDE e sistemi ad esso collegati. I requisiti che riguardano specificamente la sicurezza fisica (9.x) sono formulati in termini di strutture che ospitano sistemi CDE (e possono essere ragionevolmente interpretati per estendersi a strutture che ospitano sistemi collegati dalla rete al CDE).

Tuttavia, il requisito 11.1, che richiede la scansione per i punti di accesso wireless, è formulato in termini assoluti senza riferimento al CDE:

Implement processes to test for the presence of wireless access points (802.11), and detect and identify all authorized and unauthorized wireless access points on a quarterly basis.

È ragionevole presumere che tali scansioni WiFi debbano essere eseguite solo presso strutture aziendali che hanno qualche connessione con il CDE? Ciò sembra corrispondere all'intenzione del requisito, anche se interpretato in senso ampio potrebbe applicarsi a qualsiasi struttura.

    
posta Scott Buchanan 01.09.2016 - 23:51
fonte

1 risposta

0

Sono d'accordo con Jonah B, ma vorrei assicurarmi che non ci fossero dispositivi all'interno della struttura che hanno la capacità di amministrare qualsiasi dispositivo nel CDE (server di autenticazione) o di avere accesso a tali dispositivi (scatole di salto).

Se le disposizioni per soddisfare Req. 11.1 altrove non si applicano a una struttura, quindi tutti i dispositivi all'interno di tale struttura devono essere al di fuori del campo di applicazione.

Stiamo cercando AP rogue. Quando mai non è una buona idea? Se non ho flussi di dati che influiscono sulla memorizzazione, l'elaborazione o la trasmissione, sei a posto - i dispositivi sono fuori portata. Sono curioso di sapere perché gli AP rogue sarebbero tollerati, ma tu sei bravo.

    
risposta data 28.11.2016 - 18:40
fonte

Leggi altre domande sui tag