La nostra organizzazione sta valutando se il nostro ambito PCI DSS è corretto. Abbiamo fatto molte ricerche e letto il documento Open PCI DSS Scoping Toolkit. Tuttavia, lottiamo ancora per capirlo appieno.
Abbiamo i server CDE segregati sulla propria VLAN dietro i firewall interni. Solo l'ambiente CDE è dietro questi firewall. Siamo consapevoli che tutti i 12 requisiti si applicano a questo segmento (dispositivi 1a).
Q1. Abbiamo dispositivi al di fuori del nostro segmento PCI che forniscono servizi al segmento PCI. Ciò include Active Directory, SIEM e Anti-Virus. A noi sembra che questi dispositivi appartengano alla categoria "2a" e siano in ambito. Il toolkit afferma che tutti i controlli PCI applicabili sono richiesti per i sistemi di categoria 1 e 2a. Ciò significa che dobbiamo spostare tutti questi dispositivi dietro il firewall nell'ambiente CDE? Oppure possiamo lasciarlo così com'è e proteggere questi server con tutti i controlli PCI applicabili (introduciamo anche gli standard di hardening) e quindi documentare tutte le porte richieste che devono essere aperte sul firewall affinché questi server forniscano i servizi richiesti al nostro Ambiente CDE?
Q2. Uno dei nostri dipartimenti più grandi funziona in modo call center. Prendono i dati delle carte via telefono e poi li inseriscono nel software che è installato sul loro PC. Questo software si connette al server nell'ambiente CDE. Nulla è memorizzato localmente sul PC. Tutto viene inviato e memorizzato su questo server in ambiente CDE. La connessione tra PC e server è crittografata. Inoltre, dopo che i dati sono stati inseriti, se il rappresentante del centro è rientrato per controllare il numero della carta, sarebbe in grado di vedere solo le ultime 4 cifre a scopo di verifica. La nostra domanda riguarda questi PC (comprendiamo che sono in ambito), ma dobbiamo spostarli all'interno dell'ambiente CDE in cui si trova il server o lasciarli dove sono, e applicare tutti i controlli PCI applicabili e i controlli di protezione basati su host (FIM, SIEM, anti-virus, patching, controlli di accesso, monitoraggio, ecc.). È necessaria solo una porta per il PC (software sul PC) per comunicare con il server all'interno del segmento CDE. Questa è l'unica porta che consentiamo attraverso il firewall e l'abbiamo documentata.
Grazie per il tuo aiuto.