Categorización del servidor de respaldo en Open PCI Scoping Toolkit

3

¿Cómo se supone que los servidores de respaldo que alojan una copia de los datos del titular de la tarjeta se categorizan de acuerdo con el Open PCI Scoping Toolkit ? , dado que ya se están cumpliendo las pautas de copia de seguridad y almacenamiento de los estándares PCI?

Si tomo las categorías enumeradas en los servidores de respaldo de valor nominal, debo ser tratado como categoría 1a. La repercusión sería que no podría hacer una copia de seguridad de mis servidores aislados de clase 3 desde este servidor de copia de seguridad. Si estos archivos se pueden tratar solo como archivos y no como datos del titular de la tarjeta, el diagrama de flujo tiene más sentido. Los servidores de copia de seguridad podrían tratarse como un dispositivo 2b y podrían realizar copias de seguridad de las cajas de categoría 1 y 3.

La segunda opción suena a más de lo que se pretende en los requisitos, ya que no se menciona la segregación en el documento de requisitos principales, solo que las copias de seguridad estén protegidas encriptadas, etc. Parece contrario a la intuición que necesitamos una sistema de copia de seguridad independiente y biblioteca de cintas solo para esto, así que me encantaría que alguien lo haya hecho desde hace más tiempo que yo

    
pregunta Tim Brigham 31.12.2012 - 20:49
fuente

2 respuestas

0

He investigado mucho sobre este tema. Aparentemente, es posible tratar los datos cifrados como fuera del alcance si y solo si se ha validado que la entidad que posee datos de titular de tarjeta cifrados no tiene los medios para descifrarlo. 3.2, página 8.

Lamentablemente, en mi caso, no hay una manera de garantizar fácilmente que alguien con acceso al servidor de respaldo no pueda obtener un respaldo de las unidades que contienen las claves de cifrado.

    
respondido por el Tim Brigham 25.06.2013 - 23:10
fuente
1

No puedo comentar, pero ¿puedes explicar las categorizaciones? No deseo suscribirme al kit de herramientas vinculado. Si cumple con las pautas de respaldo y almacenamiento, debe considerar los datos respaldados en el mismo contexto que los datos originales. Quién puede acceder desde el servidor de copia de seguridad y el almacenamiento. ¿Está la copia de seguridad encriptada? ¿Se mantienen las ACL? ¿Hay un grupo grande de administradores de respaldo que pueden acceder a los datos de respaldo que no estaban al tanto de los mismos datos en la ubicación original? Parece que tu pregunta es sobre objetivos de copia de seguridad. Si realiza una copia de seguridad de los datos PCI y no PCI en un destino común, dicho objetivo debe cumplir con todos los requisitos de PCI. Debería poder usar la misma infraestructura de copia de seguridad, pero dividir sus agrupaciones de medios o destinos. Es posible que deba establecer diferentes políticas con diferentes conjuntos de administradores y trabajos. Es posible que luego puedas compartir tu infraestructura.

    
respondido por el Mike 29.01.2013 - 09:07
fuente

Lea otras preguntas en las etiquetas