Configuración de red para PCI-DSS C-VT

3

No estoy seguro de si esto es lo mejor aquí en seguridad de la información o falla del servidor o Ingeniería de red.

Tenemos una empresa que recibe pedidos telefónicos por teléfono a través de un terminal virtual. PCI-DSS 3.2 dice que para que esto esté permitido:

  

El comerciante accede a la solución de terminal virtual compatible con PCI DSS a través de   una computadora que está aislada en una sola ubicación y no está conectada   a otras ubicaciones o sistemas dentro del entorno del comerciante;

y luego en el cuestionario:

  

1.2. ¿Las configuraciones de firewall y enrutador restringen las conexiones entre   Redes no confiables y cualquier sistema en el entorno de datos del titular de la tarjeta.   de la siguiente manera: Nota: Una "red no confiable" es cualquier red que sea   externos a las redes que pertenecen a la entidad bajo revisión, y / o   que está fuera de la capacidad de la entidad para controlar o administrar.

     

(a) ¿El tráfico de entrada y salida está restringido a lo que es necesario para el entorno de datos del titular de la tarjeta?  Revisar el firewall y   Estándares de configuración del enrutador  Examinar firewall y enrutador   configuraciones

     

(b) Es el resto del tráfico entrante y saliente.   denegado específicamente (por ejemplo, utilizando un explícito "negar todo" o un   denegación implícita después de permitir declaración)?

¿Esto significa que la máquina en la que tomamos la información de la tarjeta de crédito debe estar completamente aislada de absolutamente todo lo demás en la red en su totalidad utilizando un firewall o un vlan? Esto causaría un problema real, ya que también necesitan acceder a una máquina central para compartir archivos para otro trabajo de servicio al cliente, así como a un servidor SQL interno.

¿Estoy leyendo demasiado sobre esto, y que el acceso a los recursos centrales en realidad estaría bien, pero otras máquinas que no sean de servicio al cliente tendrían que ser bloqueadas? Gracias de antemano

    
pregunta Jeff 16.03.2018 - 13:43
fuente

1 respuesta

1

La computadora debe estar separada del resto del entorno mediante un firewall basado en host o un firewall de red con reglas definidas como se describe en el Requisito 1. Aquí hay algunas cosas que debe considerar:

  • Reglas de salida: en general, la estación de trabajo puede iniciar conexiones salientes a su recurso compartido de archivos o su servidor SQL.
  • Reglas de entrada: aquí es donde está segmentando la estación de trabajo, que es su entorno de datos de titulares de tarjetas, desde sistemas que no son CDE. Usted desearía reglas de entrada muy estrictas con una regla final de Denegar todo.
  • Sistemas conectados: cualquier máquina o dispositivo que se conecte a la estación de trabajo se considerará como sistemas conectados. Los sistemas tales como controladores de dominio, servidores de parches, servidores antivirus, etc. que proporcionan servicios a la estación de trabajo generalmente se consideran sistemas conectados. Los sistemas conectados deben estar asegurados a los estándares PCI porque pueden proporcionar una ruta hacia el CDE. Los sistemas conectados deben considerarse dentro del alcance de una evaluación. Para obtener más información sobre los sistemas conectados, consulte Herramienta de alcance de PCI .

Para obtener más información acerca de las estaciones de trabajo como CDE, consulte ¿Cómo se aplican las PCI DSS a las PC individuales o estaciones de trabajo y Qué es SAQ C-VT . Como se indica en las preguntas frecuentes "¿Qué es SAQ C-VT", "los comerciantes que utilizan soluciones de terminal virtual deben consultar con su adquirente (banco mercantil)"?

    
respondido por el waltonob 16.03.2018 - 16:17
fuente

Lea otras preguntas en las etiquetas