¿En un entorno PCI con una configuración de red MPLS VPN, debería permitir que el almacén almacene la comunicación?
¿Crees que una red MPLS se consideraría lo suficientemente segura para esto? ¿Por qué o por qué no?
¿En un entorno PCI con una configuración de red MPLS VPN, debería permitir que el almacén almacene la comunicación?
¿Crees que una red MPLS se consideraría lo suficientemente segura para esto? ¿Por qué o por qué no?
PCI-DSS habla con el entorno de datos crediticios. Si toda la "tienda" es parte del CDE, en términos de cumplimiento no hace ninguna diferencia, todos los sistemas en todos esos entornos están dentro del alcance de un auditor de QSA.
Dicho esto, probablemente no sea una buena idea. Cuantas más rutas tengan los atacantes para rebotar dentro, más difícil será definir canales seguros.
Permítanme lanzar un escenario de confrontación realista: Un badguy ingresa a un registro de POS en la Tienda A, es una ubicación de bajo rendimiento que maneja un número muy pequeño de transacciones. Alguien en la tienda conectó un dispositivo de terceros a la red fuera de su control y el atacante logró la transición a la red privada. Es de bajo volumen y bajo impacto si el atacante se mueve alrededor y descubre una debilidad en un modelo de confianza (como, la clave de cifrado clave se "esconde" en una DLL a simple vista ... sí, estoy hablando con usted, gente compatible con PA-DSS ...) Y es capaz de comenzar a reunir una cantidad mínima de tarjetas de crédito.
Descubren que se puede acceder a la Tienda B a través de la WAN y aplican las técnicas que pudieron iniciar en la tienda de bajo volumen de manera mucho más efectiva la segunda vez en la tienda que procesa 100 veces la cantidad de transacciones que la primera.
La tienda B tiene un conjunto de controles mucho mejor, pero al aprovechar los sistemas menos mantenidos en la tienda A, el atacante puede escabullirse con toda la información crediticia de ambas ubicaciones. Mientras que la Tienda A sola podría haber llevado a un compromiso de un par de docenas de registros de clientes, la Tienda B lo convirtió en un incidente de informe nacional con turistas de más de 30 estados comprometidos.
En otras palabras, si llegara tan lejos y no saliera satisfecho con la respuesta de cumplimiento, no lo haría a menos que hubiera una necesidad comercial increíble. A pesar de que está "en el MPLS", sin duda lo está conectando a su terminal, que a su vez está conectado a Internet.
Lea otras preguntas en las etiquetas network vpn pci-dss compliance