PCI DSS Ambito al di fuori del CDE

Naviga le tue risposte
0

La nostra organizzazione sta valutando se il nostro ambito PCI DSS è corretto. Abbiamo fatto molte ricerche e letto il documento Open PCI DSS Scoping Toolkit. Tuttavia, lottiamo ancora per capirlo appieno.

Abbiamo i server CDE segregati sulla propria VLAN dietro i firewall interni. Solo l'ambiente CDE è dietro questi firewall. Siamo consapevoli che tutti i 12 requisiti si applicano a questo segmento (dispositivi 1a).

Q1. Abbiamo dispositivi al di fuori del nostro segmento PCI che forniscono servizi al segmento PCI. Ciò include Active Directory, SIEM e Anti-Virus. A noi sembra che questi dispositivi appartengano alla categoria "2a" e siano in ambito. Il toolkit afferma che tutti i controlli PCI applicabili sono richiesti per i sistemi di categoria 1 e 2a. Ciò significa che dobbiamo spostare tutti questi dispositivi dietro il firewall nell'ambiente CDE? Oppure possiamo lasciarlo così com'è e proteggere questi server con tutti i controlli PCI applicabili (introduciamo anche gli standard di hardening) e quindi documentare tutte le porte richieste che devono essere aperte sul firewall affinché questi server forniscano i servizi richiesti al nostro Ambiente CDE?

Q2. Uno dei nostri dipartimenti più grandi funziona in modo call center. Prendono i dati delle carte via telefono e poi li inseriscono nel software che è installato sul loro PC. Questo software si connette al server nell'ambiente CDE. Nulla è memorizzato localmente sul PC. Tutto viene inviato e memorizzato su questo server in ambiente CDE. La connessione tra PC e server è crittografata. Inoltre, dopo che i dati sono stati inseriti, se il rappresentante del centro è rientrato per controllare il numero della carta, sarebbe in grado di vedere solo le ultime 4 cifre a scopo di verifica. La nostra domanda riguarda questi PC (comprendiamo che sono in ambito), ma dobbiamo spostarli all'interno dell'ambiente CDE in cui si trova il server o lasciarli dove sono, e applicare tutti i controlli PCI applicabili e i controlli di protezione basati su host (FIM, SIEM, anti-virus, patching, controlli di accesso, monitoraggio, ecc.). È necessaria solo una porta per il PC (software sul PC) per comunicare con il server all'interno del segmento CDE. Questa è l'unica porta che consentiamo attraverso il firewall e l'abbiamo documentata.

Grazie per il tuo aiuto.

    
posta ITsoccer 17.06.2016 - 16:00
fonte

1 risposta

1

Risposta a Q1

I segmenti di rete che contengono sistemi che gestiscono i dati dei titolari di carte dovrebbero essere nelle proprie VLAN: sembra che l'hai fatto. Anche i sistemi a cui è collegato e l'impatto sulla sicurezza sono inclusi ma non è necessario che siano all'interno del CDE poiché non gestiscono i dati dei titolari di carta. Questi sistemi possono essere individualmente nell'ambito di applicazione senza portare la popolazione di quel segmento di rete in ambito. Sarebbe utile avere i firewall locali abilitati come misura di sicurezza aggiuntiva.

Risposta a Q2

Il call center dovrebbe essere nella propria VLAN, quindi è segmentato logicamente da ambienti che non gestiscono i dati dei titolari di carta. Il call center fa parte del tuo CDE.

Considerando quanto sopra, potresti avere le seguenti VLAN:

  • CDE DMZ
  • CDE interno
  • call center CDE
  • Altre cose - possono contenere sistemi in-scope, cioè collegati a, sicurezza impatto
  • Altro
risposta data 17.06.2016 - 17:20
fonte

Leggi altre domande sui tag

Perché i domini https.lk, ftp.lk e http.lk sono limitati nel registro dei domini dello Sri Lanka Google mail - email di Paypal che vanno direttamente nel cestino [chiuso]