Admito la infraestructura de TI para una pequeña empresa minorista que ahora debe someterse a una evaluación PCI-DSS. El proveedor de servicios de pago y terminal ( Streamline ) solicitó que usemos Trustwave para realizar la certificación PCI-DSS.
El problema al que me enfrento es que si respondo a todas las preguntas y cumplo con los requisitos de Trustwave hasta la carta, tendremos que invertir significativamente en equipos de red para LAN de segmentos y / o realizar escaneos de vulnerabilidades internas, mientras que Streamline me asegura que los terminales que tenemos ( Verifone VX670- B y MagIC3 X-8 ) son seguros, no almacenan ninguna información de la tarjeta de crédito y cumplen con la norma PCI-DSS, por lo que, de manera implícita, no necesitamos tomar ninguna medida para garantizar la seguridad de su red.
Estoy buscando sugerencias sobre cómo podemos cumplir con los requisitos de red para PCI-DSS.
Algunos antecedentes sobre nuestra configuración de red actual:
- LAN con cable única, también con WiFi activada (aunque si esto crea alguna complejidad PCI-DSS, podemos desactivarla).
- enrutador ADSL Netgear único. Este es el único servidor de seguridad que tenemos instalado, y el servidor de seguridad está fuera de la configuración de la caja (es decir, no DMZ, SNMP, etc.). Las contraseñas se han cambiado aunque :-)
- algunas PC con Windows y 2 plataformas basadas en Windows, ninguna de las cuales ve información de tarjeta de crédito.
- dos terminales de deslizamiento. Hasta hace unos meses (antes de que nos dijeran que debíamos tener la certificación PCI-DSS), estos terminales se autenticaban / capturaban por teléfono. Streamline sugirió que cambiemos a sus IP El servicio de banda ancha , que en su lugar utiliza un canal cifrado SSL a través de Internet para realizar la autenticación / captura, por lo que ahora usamos ese servicio.
No hacemos comercio electrónico ni recibimos pagos a través de Internet. Todas las transacciones son: tarjetahabiente presente o MOTO con detalles dados por teléfono y escritos directamente en el terminal. Estamos ubicados en el Reino Unido.
Como lo entiendo actualmente, tenemos tres opciones para obtener la certificación PCI-DSS.
- segmente nuestra red para que las terminales POS estén aisladas de todas las PC y configure el análisis de vulnerabilidades internas en esa red.
- no segmente la red, tiene que hacer más escaneos internos y tener una administración de PCs más onerosa de lo que creo que necesitamos (por ejemplo, aunque los tills están basados en Windows, están totalmente administrados, por lo que no tengo control sobre políticas de actualización de software, antivirus, etc). Todas las PC tienen actualizaciones antivirus y de Windows (MSE) y Windows, pero no tenemos ninguna centralizada
- volver a autenticación / captura a través de líneas telefónicas.
No puedo imaginar que seamos el primer comerciante en esta situación. Estoy buscando recomendaciones para una forma simple y rentable de cumplir con PCI-DSS, ya sea haciendo 1 o 2 arriba con (con suerte) un equipo / software simple y económico, o cualquier otra forma si hay una mejor manera de hacerlo . O ... ¿deberíamos volver a la edad de piedra digital y realizar la autenticación / captura por teléfono, lo que significa que no tenemos que hacer nada en nuestra red para obtener la certificación PCI-DSS?