PCI DSS 11.2.1 / 11.2.3 - Alcance de las exploraciones internas

3

Necesito ayuda sobre SAQ #C - ¿Se realizan análisis de vulnerabilidad internos trimestrales?

¿Cuál es el objetivo (alcance) para esas exploraciones internas?

Nuestra configuración:

  • Enrutador con módem (WAN1 / LAN1), DMZ, algunas computadoras de oficina están conectadas allí
  • Enrutador inalámbrico, punto de acceso, que en realidad es un puente a LAN1, algunas computadoras de oficina están conectadas a través de este enrutador
  • Enrutador dedicado: instalado solo para cumplir con los requisitos de PCI (LAN2, conectado a WLAN1 / LAN1)
  • Servidor www de tienda dedicada: red completamente aislada, en VLAN completamente aislada (conectada a un enrutador LAN2 dedicado).

Básicamente, solo el puerto 443 se abre y se reenvía al servidor. La red está totalmente aislada. Podemos administrar nuestro enrutador dedicado solo a través de un cable serie o una interfaz eth2 preparada solo para la administración (no hay ningún dispositivo conectado allí)

Ni siquiera puedo recuperar la IP del cliente en el servidor de la tienda www (donde se procesan los datos del titular de la tarjeta)

Mi pregunta es: ¿Qué red debo escanear? ¿Necesito escanear todo? ¿También necesito escanear la red de la oficina? (lo que en mi opinión sería ridículo).

Mi preocupación es que tenemos computadoras de oficina que, obviamente, no pasan exploraciones internas en LAN1; por ejemplo, tengo una instalación de WAMP en mi computadora, pero no me importa el hecho de que mi instalación de WAMP tenga algunas vulnerabilidades.

Nuestro tarjetahabiente env. (que es nuestro servidor) está detrás de tres firewalls ... (LAN1, LAN2, iptables)

La única forma en que puedo iniciar sesión en la consola del servidor es ... inicio de sesión físico, directo (lo que es un poco molesto, por cierto). Todos los puertos, excepto TCP 443 HTTPS, están cerrados. SSH está deshabilitado.

Conociendo todas las contraseñas de root, no hay forma de conectarse a la tarjeta env. servidor. (nuestra tienda)

Editar: acaba de realizar una exploración interna (utilizando herramientas asv), ¡encontró problemas de vulnerabilidad en nuestra impresora! : esto es ridículo

    
pregunta user21886 29.03.2013 - 13:47
fuente

2 respuestas

2

Este es un problema con el que también he estado lidiando. La mejor respuesta que puedo sugerir es obtener el kit de herramientas de alcance de PCI de enlace . Cualquier nivel 1 o 2 está dentro del alcance de la exploración.

    
respondido por el Tim Brigham 29.03.2013 - 17:20
fuente
0

Lo primero que debe hacer es volver a verificar que debería usar SAQ C, lo cual es vital ya que puede perder mucho tiempo.

A continuación, debe hacer lo que se denomina definición de alcance, hay algunos detalles en la 'Guía de referencia rápida PCI-DSS-C'. Básicamente, debe definir el Entorno de datos del titular de la tarjeta (CDE). Tenga en cuenta que esto no es un almacenamiento de los datos del Titular de la Tarjeta como indica el SAQ C:

"Merchants with payment application systems connected to the Internet, **no electronic 
cardholder data storage**" 

Entonces, si las máquinas de su oficina pueden acceder a los datos del titular de la tarjeta (como se indica en la misma guía de referencia, sección 3.6), esto incluye el Número de cuenta principal (PAN) y la Fecha de caducidad, etc., entonces esto es parte de su CDE y debe ser escaneado.

    
respondido por el Nathan Gautrey 30.03.2013 - 18:18
fuente

Lea otras preguntas en las etiquetas