Requisito PCI 8.3 - 2FA per tutti gli accessi di rete provenienti dalla rete

0

Requirement 8.3: Incorporate two-factor authentication for remote network access originating from outside the network by personnel (including users and administrators) and all third parties, (including vendor access for support or maintenance).

Situazione attuale:

Dobbiamo essere conformi allo standard PCI in 2 regioni (ad es. Giappone e Tailandia), ma abbiamo altri 5 paesi in Asia che sono interconnessi con il link MPLS privato.

In Giappone e Tailandia siamo conformi al livello 4 PCI. Abbiamo implementato 2FA per fornitori / fornitori di servizi ecc.

La mia domanda è: l'accesso agli altri uffici (Singapore, Malesia, India) è limitato al Giappone e alla Tailandia poiché siamo in grado di connetterci tramite il link MPLS privato? O è OK perché ci stiamo connettendo solo tramite un link privato.

    
posta PCIrs 17.08.2015 - 10:45
fonte

1 risposta

2

Dichiarazione di non responsabilità: IANAQSA, e se sei di livello 4, probabilmente non ne hai uno. Sii cauto.

My Question is: Do the other offices (Singapore, Malaysia, India) access restricted to the Japan and Thailand as we are able to connect through private MPLS link? Or is it OK as we are connecting only through a private link.

Questa è veramente una questione di Scope - vedi pagine 10-11 di PCI DSS 3.1 . La sezione 8.3 è progettata per coprire il caso di accesso remoto (che in genere significa accesso intermittente, non sempre attivo).

La guida per 8.3 dice:

If remote access is to an entity’s network that has appropriate segmentation, such that remote users cannot access or impact the cardholder data environment, two-factor authentication for remote access to that network would not be required.

e la sezione Segmentazione di rete a pagina 11 riporta:

Without adequate network segmentation (sometimes called a "flat network") the entire network is in scope of the PCI DSS assessment. Network segmentation can be achieved through a number of physical or logical means, such as properly configured internal network firewalls, routers with strong access control lists, or other technologies that restrict access to a particular segment of a network. To be considered out of scope for PCI DSS, a system component must be properly isolated (segmented) from the CDE, such that even if the out-of-scope system component was compromised it could not impact the security of the CDE.

Quindi la risposta alla tua domanda è:

  1. Se i siti remoti (Singapore / Malesia / India) hanno accesso illimitato alle reti in-scope in Giappone / Thailandia tramite MPLS, allora sono anche in ambito e richiedono lo stesso livello di controlli PCI del Giappone / Tailandia. (Questo include 2FA per tutti gli utenti remoti, ad es. Gli utenti che hanno VPN in India e possono quindi connettersi tramite MPLS in Giappone)
  2. Se i siti remoti sono adeguatamente limitati tramite Segmentazione di rete come descritto nel DSS, quindi 2FA non è richiesto per il sito o per l'accesso dal sito in generale. L'accesso di un utente da un sito remoto a risorse in-scope in un sito all'interno può richiedere 2FA - nuovamente, per citare 8.3:

However, two-factor authentication is required for any remote access to networks with access to the cardholder data environment

(In realtà, a seconda del QSA, se si dispone di reti sia all'interno che all'esterno del proprio sito Giappone / Tailandia, potrebbero essere necessari più fattori per identificare gli utenti locali del sito che accedono all'ambito CDE dalla rete fuori ambito. Ho notato vari livelli di rigore su questo argomento da diversi QSA)

    
risposta data 18.08.2015 - 15:18
fonte

Leggi altre domande sui tag