Almacenar datos de PCI DSS en una forma cifrada en un alcance que no sea de PCI DSS

4

¿Puedo guardar un archivo fuertemente cifrado que contiene el CHD en un almacenamiento externo que está fuera de nuestra infraestructura PCI-DSS?

Por ejemplo, nos gustaría guardar un archivo de copia de seguridad cifrado para el último recurso en un servidor que está alojado dentro de nuestra oficina.

Los datos son inútiles sin las contraseñas, pero si todo en el centro de datos se quema, nos daría la oportunidad de reconstruir todo rápidamente. Cada contraseña será retenida por una sola persona.

Por cierto, tenemos una respuesta afirmativa de securityMetrics, pero tememos que sea solo un bot de respuesta.

    
pregunta BitLegacy01 06.06.2016 - 10:48
fuente

1 respuesta

8

El uso de ese almacenamiento externo lo lleva efectivamente al alcance de PCI, sin embargo, usted tiene razón:

Si tiene un cifrado sólido suficiente para proteger los datos, y puede demostrarlo, debe permitirse su almacenamiento en un archivo comprimido.

Sin embargo, no intentes expresarlo como fuera del ámbito de aplicación de PCI. Tenlo en cuenta de la manera habitual al hablar con tu QSA, e incluye la información que has presentado aquí.

    
respondido por el Rory Alsop 06.06.2016 - 10:52
fuente

Lea otras preguntas en las etiquetas