Dichiarazione di non responsabilità: IANAQSA, e se sei di livello 4, probabilmente non ne hai uno. Sii cauto.
My Question is: Do the other offices (Singapore, Malaysia, India)
access restricted to the Japan and Thailand as we are able to connect
through private MPLS link? Or is it OK as we are connecting only
through a private link.
Questa è veramente una questione di Scope - vedi pagine 10-11 di PCI DSS 3.1 . La sezione 8.3 è progettata per coprire il caso di accesso remoto (che in genere significa accesso intermittente, non sempre attivo).
La guida per 8.3 dice:
If remote access is to an entity’s network that has appropriate
segmentation, such that remote users cannot access or impact the
cardholder data environment, two-factor authentication for remote
access to that network would not be required.
e la sezione Segmentazione di rete a pagina 11 riporta:
Without adequate network segmentation (sometimes called a "flat
network") the entire network is in scope of the PCI DSS assessment.
Network segmentation can be achieved through a number of physical or
logical means, such as properly configured internal network firewalls,
routers with strong access control lists, or other technologies that
restrict access to a particular segment of a network. To be considered
out of scope for PCI DSS, a system component must be properly isolated
(segmented) from the CDE, such that even if the out-of-scope system
component was compromised it could not impact the security of the CDE.
Quindi la risposta alla tua domanda è:
- Se i siti remoti (Singapore / Malesia / India) hanno accesso illimitato alle reti in-scope in Giappone / Thailandia tramite MPLS, allora sono anche in ambito e richiedono lo stesso livello di controlli PCI del Giappone / Tailandia. (Questo include 2FA per tutti gli utenti remoti, ad es. Gli utenti che hanno VPN in India e possono quindi connettersi tramite MPLS in Giappone)
- Se i siti remoti sono adeguatamente limitati tramite Segmentazione di rete come descritto nel DSS, quindi 2FA non è richiesto per il sito o per l'accesso dal sito in generale. L'accesso di un utente da un sito remoto a risorse in-scope in un sito all'interno può richiedere 2FA - nuovamente, per citare 8.3:
However, two-factor authentication is required for any remote access
to networks with access to the cardholder data environment
(In realtà, a seconda del QSA, se si dispone di reti sia all'interno che all'esterno del proprio sito Giappone / Tailandia, potrebbero essere necessari più fattori per identificare gli utenti locali del sito che accedono all'ambito CDE dalla rete fuori ambito. Ho notato vari livelli di rigore su questo argomento da diversi QSA)