No estoy seguro de si esto es lo mejor aquí en seguridad de la información o falla del servidor o Ingeniería de red.
Tenemos una empresa que recibe pedidos telefónicos por teléfono a través de un terminal virtual. PCI-DSS 3.2 dice que para que esto esté permitido:
El comerciante accede a la solución de terminal virtual compatible con PCI DSS a través de una computadora que está aislada en una sola ubicación y no está conectada a otras ubicaciones o sistemas dentro del entorno del comerciante;
y luego en el cuestionario:
1.2. ¿Las configuraciones de firewall y enrutador restringen las conexiones entre Redes no confiables y cualquier sistema en el entorno de datos del titular de la tarjeta. de la siguiente manera: Nota: Una "red no confiable" es cualquier red que sea externos a las redes que pertenecen a la entidad bajo revisión, y / o que está fuera de la capacidad de la entidad para controlar o administrar.
(a) ¿El tráfico de entrada y salida está restringido a lo que es necesario para el entorno de datos del titular de la tarjeta? Revisar el firewall y Estándares de configuración del enrutador Examinar firewall y enrutador configuraciones
(b) Es el resto del tráfico entrante y saliente. denegado específicamente (por ejemplo, utilizando un explícito "negar todo" o un denegación implícita después de permitir declaración)?
¿Esto significa que la máquina en la que tomamos la información de la tarjeta de crédito debe estar completamente aislada de absolutamente todo lo demás en la red en su totalidad utilizando un firewall o un vlan? Esto causaría un problema real, ya que también necesitan acceder a una máquina central para compartir archivos para otro trabajo de servicio al cliente, así como a un servidor SQL interno.
¿Estoy leyendo demasiado sobre esto, y que el acceso a los recursos centrales en realidad estaría bien, pero otras máquinas que no sean de servicio al cliente tendrían que ser bloqueadas? Gracias de antemano