Tenemos un sitio web que procesa datos de tarjetas de crédito y utiliza un equilibrador de carga para nuestros dos servidores web. La conexión SSL termina en los servidores web y no en el equilibrador de carga. ¿El equilibrador de carga está dentro del alcance de PCI?
Primero, IANAQSA (no soy QSA), pero trato mucho con PCI.
Utilizando el open scoping toolkit como guía, el Load Balancer no sería un sistema de categoría 1. Esto se debe a que no almacena, procesa ni transmite directamente información no cifrada del titular de la tarjeta. Dado que está abriendo conexiones de red al servidor web (que es un sistema de categoría 1), entonces probablemente sería un sistema de categoría 2. Un sistema de categoría 2 todavía está dentro del alcance de PCI, ya que puede afectar la seguridad del entorno de datos del titular de la tarjeta (CDE).
Le sugeriría que siguiera usted mismo el conjunto de herramientas de determinación de alcance o que contrate un QSA para obtener más información.
Lea otras preguntas en las etiquetas pci-scope