¿Cómo se supone que los servidores de respaldo que alojan una copia de los datos del titular de la tarjeta se categorizan de acuerdo con el Open PCI Scoping Toolkit ? , dado que ya se están cumpliendo las pautas de copia de seguridad y almacenamiento de los estándares PCI?
Si tomo las categorías enumeradas en los servidores de respaldo de valor nominal, debo ser tratado como categoría 1a. La repercusión sería que no podría hacer una copia de seguridad de mis servidores aislados de clase 3 desde este servidor de copia de seguridad. Si estos archivos se pueden tratar solo como archivos y no como datos del titular de la tarjeta, el diagrama de flujo tiene más sentido. Los servidores de copia de seguridad podrían tratarse como un dispositivo 2b y podrían realizar copias de seguridad de las cajas de categoría 1 y 3.
La segunda opción suena a más de lo que se pretende en los requisitos, ya que no se menciona la segregación en el documento de requisitos principales, solo que las copias de seguridad estén protegidas encriptadas, etc. Parece contrario a la intuición que necesitamos una sistema de copia de seguridad independiente y biblioteca de cintas solo para esto, así que me encantaría que alguien lo haya hecho desde hace más tiempo que yo