Estoy usando el modelo de segmentación de red 3/2/1 del open pci dss scoping toolkit y yo Me estoy topando con un poco de un bloqueo mental. Tengo un sistema telefónico (Mitel 5000 series, si es importante) que está en mi red interna segmentada.
El sistema telefónico parece tener firewall. nmap muestra solo los puertos de administración web y SSH estándar. Sin embargo, técnicamente este sistema es de nivel 1, ya que recibimos una gran cantidad de llamadas que contienen información del titular de la tarjeta.
Basado en el kit de herramientas, esto es técnicamente una infracción, ya que los sistemas L3 pueden acceder a un L1. Al mismo tiempo, el único acceso a través de la red es el tráfico de administración cifrado. Eso cumple con las especificaciones de PCI-DSS para cualquier red disponible públicamente.
¿Cómo trato esta situación? ¿Por qué?
Nota: soy consciente de que el QSA es la respuesta final a esta pregunta relacionada con PCI. Estoy buscando más prácticas recomendadas y la lógica detrás de este tipo de casos.